Перейти к содержанию

CVE-2020-1350: уязвимость в DNS-серверах под Windows

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Компания Microsoft сообщила об уязвимости CVE-2020-1350 в DNS-сервере Windows. Что плохо: уязвимость получила оценку в 10 баллов по шкале CVSS, то есть рейтинг «критическая». Что хорошо: злоумышленники могут использовать эту уязвимость, только если система работает в режиме DNS-сервера, то есть число потенциально подверженных машин невелико. К тому же компания уже выпустила заплатки и опубликовала обходное решение.

Что это за уязвимость и чем она опасна?

Уязвимость CVE-2020-1350 позволяет заставить DNS-серверы, работающие под управлением Windows Server, удаленно выполнить вредоносный код. Иными словами, она относится к классу RCE. Для того чтобы проэксплуатировать уязвимость, злоумышленникам достаточно послать DNS-серверу специальным образом сгенерированный запрос.

Посторонний код будет исполняться в контексте учетной записи Local System Account. Эта запись имеет обширные привилегии на локальном компьютере, а в сети действует как компьютер. К тому же Local System Account не распознается подсистемой обеспечения безопасности. По словам Microsoft, основная опасность уязвимости заключается в том, что она может быть использована для распространения угрозы по локальной сети, то есть классифицируется как Wormable.

Кто в зоне риска из-за CVE-2020-1350?

Уязвимы все версии Windows Server, но только если они работают в режиме DNS-сервера. Если в вашей компании нет DNS-сервера или же используется DNS-сервер на базе другой операционной системы, то вам волноваться не о чем.

К счастью, уязвимость была обнаружена исследователями из Check Point Research, и подробной информации о том, как ее можно эксплуатировать, в открытом доступе пока нет. Кроме того, на данный момент нет и никаких свидетельств того, что CVE-2020-1350 когда-либо эксплуатировали злоумышленники.

Однако весьма вероятно, что сразу после того, как Microsoft опубликовала инструкции по обновлению системы, злоумышленники начали внимательно изучать DNS-серверы и патчи и пытаться определить, как же эту уязвимость можно проэксплуатировать. Поэтому с установкой заплатки лучше не тянуть.

Что делать?

Лучше всего — установить патч, который модифицирует метод обработки запросов DNS-серверами Windows. Заплатка доступна для систем семейств Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, а также Windows Server version 1903, Windows Server version 1909 и Windows Server version 2004. Скачать ее можно на странице с объяснением этой уязвимости.

Однако поскольку в некоторых крупных компаниях существуют внутренние правила и установленный ритм обновления программного обеспечения, некоторые администраторы могут не иметь возможности установить патч немедленно. Чтобы их DNS-серверы не остались под угрозой, компания также предложила обходной путь. Он заключается во внесении следующих правок в системный реестр:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

После сохранения изменений сервер следует перезапустить. Однако этот обходной путь может потенциально приводить к некорректной работе сервера в тех редких случаях, когда сервер получит TCP-пакет размером более 65280 байт. Так что, когда патч все-таки будет установлен, Microsoft рекомендует удалить переменную TcpReceivePacketSize вместе с ее значением и вернуть запись реестра к исходному состоянию.

Мы же со своей стороны хотим напомнить, что работающий в вашей инфраструктуре DNS-сервер — точно такой же компьютер, как и все остальные. В них точно также находят уязвимости, которые злоумышленники могут эксплуатировать. Поэтому, как и любые другие конечные точки в сети, его нужно защищать при помощи надежных решений, таких как Kaspersky Security для бизнеса.

View the full article

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ViM
      DNS сервера выставляются сами, 127.0.0.1 после перезагрузки ПК (dns не от роутера)
      Автор ViM
      Нашел много постов с аналогичной проблемой, прощу помощи 
      Готов предоставить все нужные логи 

      https://forum.kasperskyclub.ru/topic/338960-resheno-dns-servera-vystavljajutsja-sami-127022-iz-za-jetogo-kak-ja-podozrevaju-ne-rabotajut-nekotorye-igry-i-ploho-rabotajut-nekotorye-sajty/
    • KL FC Bot
      CVE-2024-10924, уязвимость для обхода аутентификации на WordPress
      Автор KL FC Bot
      Плохие новости для компаний, использующих сайты на базе WordPress с механизмом двухфакторной аутентификации, реализованным через плагин Really Simple Security. Недавно обнаруженная в этом плагине уязвимость CVE-2024-10924 позволяет постороннему человеку аутентифицироваться на сайте под видом легитимного пользователя. Поэтому плагин рекомендуется обновить как можно быстрее.
      Чем опасна уязвимость CVE-2024-10924
      Как бы иронично это ни звучало, но уязвимость CVE-2024-10924 в плагине с названием Really Simple Security имеет CVSS-рейтинг 9.8 и классифицируется как критическая. По сути это ошибка в механизме аутентификации, из-за которой атакующий может залогиниться на сайте как любой из зарегистрированных на нем пользователей, с полными его правами (даже админскими). В результате это может привести к перехвату контроля над сайтом.
      На GitHub уже появились доказательства возможности эксплуатации этой уязвимости. Более того, судя по всему, ее применение можно автоматизировать. Исследователи из Wordfence, обнаружившие CVE-2024-10924, назвали ее самой опасной уязвимостью, обнаруженной ими за 12 лет работы в сфере безопасности WordPress.
       
      View the full article
    • KL FC Bot
      CVE-2025-0411 — уязвимость в 7-Zip | Блог Касперского
      Автор KL FC Bot
      В популярном архиваторе 7-Zip была обнаружена уязвимость CVE-2025-0411, позволяющая злоумышленникам обходить защитный механизм Mark-of-the-Web. CVE-2025-0411 имеет рейтинг 7.0 по шкале CVSS. Уязвимость была оперативно исправлена, однако, поскольку в программе отсутствует механизм автоматического обновления, у некоторых пользователей могла остаться уязвимая версия. В связи с чем мы рекомендуем незамедлительно обновить архиватор.
      Что такое Mark-of-the-Web?
      Механизм Mark-of-the-Web (MOTW) заключается в проставлении специальной отметки в метаданных файлов, полученных из Интернета. При наличии такой отметки операционная система Windows считает такой файл потенциально опасным. Соответственно, если файл исполняемый, то при попытке его запуска пользователь увидит предупреждение о том, что он может причинить вред. Кроме того, ряд программ ограничивают функциональность файла (например, офисные приложения блокируют выполнение макросов). Подразумевается, что если из Интернета скачан архив, то при его распаковке все находившиеся внутри файлы также унаследуют отметку MOTW.
      Злоумышленники неоднократно были замечены за попытками избавиться от отметки MOTW для того, чтобы ввести пользователя в заблуждение. В частности, несколько лет назад мы писали о том, как это делает группировка BlueNoroff. По классификации матрицы MITRE ATT&CK обход механизма MOTW относится к подтехнике T1553.005: Subvert Trust Controls: Mark-of-the-Web Bypass.
       
      View the full article
    • KL FC Bot
      CVE-2023-6246, уязвимость в библиотеке glibc | Блог Касперского
      Автор KL FC Bot
      В библиотеке glibc (GNU C Library) обнаружена уязвимость, которая потенциально может помочь атакующим повысить свои привилегии в системах семейства Linux до уровня суперпользователя (root). Библиотека обеспечивает работу системных вызовов и основных системных функций, включая syslog и vsyslog, которые служат для записи информации в лог системных сообщений. Уязвимость получила идентификатор CVE-2023-6246 и оценку 8,4 по шкале CVSS v3.1. Несмотря на то, что уровень этой опасности не критический, а только высокий, велика вероятность ее эксплуатации в масштабных атаках, ведь glibc — основная системная библиотека, которая используется практически всеми программами.
      Какие системы подвержены уязвимости CVE-2023-6246?
      Исследователи компании Qualys, обнаружившие эту уязвимость, протестировали ряд стандартных установок популярных систем на базе Linux и выяснили, какие системы уязвимы: Debian 12 и 13, Ubuntu 23.04 и 23.10, а также Fedora Linux с версии 37 по 39. Однако, эксперты добавляют, что другие дистрибутивы, вероятно, также подвержены этой уязвимости. Уязвимость присутствует в библиотеке версии 2.36 и старше. Создатели glibc устранили уязвимость в версии 2.39, которую выпустили на следующий день после ее обнаружения.
       
      Посмотреть статью полностью
    • KL FC Bot
      Атака KeyTrap позволяет вывести из строя DNS-сервер | Блог Касперского
      Автор KL FC Bot
      Группа исследователей из нескольких немецких университетов и институтов обнаружила уязвимость в DNSSEC — наборе расширений протокола DNS, которые предназначены для повышения его безопасности, в первую очередь для противодействия DNS-спуфингу.
      Атака, эксплуатирующая эту уязвимость, которую они назвали KeyTrap, позволяет вывести из строя DNS-сервер, отправив ему единственный вредоносный пакет данных. Рассказываем подробнее об этой атаке.
      Как работает атака KeyTrap и чем она опасна
      Публично об уязвимости в DNSSEC стало известно только сейчас, однако она была обнаружена еще в декабре 2023 года и зарегистрирована как CVE-2023-50387. Ей присвоена оценка 7,5 по шкале CVSS 3.1 и уровень опасности «высокий». Полностью информация об уязвимости и соответствующей атаке пока не обнародована.
      Суть KeyTrap состоит в следующем. Атакующий создает собственный DNS-сервер, отвечающий на запросы кэширующих DNS-серверов (то есть серверов, которые непосредственно обслуживают запросы клиентов) вредоносным пакетом. Далее злоумышленник заставляет кэширующий сервер запросить DNS-запись у вредоносного DNS-сервера, который в ответ отправляет криптографически подписанную вредоносную DNS-запись. При этом подпись выполнена таким образом, что в процессе ее проверки атакуемый DNS-сервер зависает на продолжительное время с загрузкой процессора 100%.
      По словам исследователей, в зависимости от используемого на DNS-сервере ПО, эта атака может с помощью единственного вредоносного пакета заставить сервер зависнуть на срок от 170 секунд до 16 часов. В результате атаки KeyTrap можно не только лишить доступа к веб-контенту всех клиентов, которые пользуются выведенным из строя DNS-сервером, но и помешать работе различных инфраструктурных сервисов, таких как защита от спама, обработка цифровых сертификатов (PKI) и безопасная междоменная маршрутизация (RPKI).
      Сами исследователи называют KeyTrap «самой серьезной из когда-либо обнаруженных атак на DNS-серверы». Интересно, что изъяны в логике проверки подписи, которые делают эту атаку возможной, обнаружены еще в одной из самых ранних версий спецификации DNSSEC, опубликованной в 1999 году. То есть данной уязвимости без малого четверть века.
      Предпосылки для KeyTrap содержатся еще в RFC-2035 — спецификации DNSSEC, опубликованной в 1999 году
       
      Посмотреть статью полностью
×
×
  • Создать...