Microsoft heeft melding gemaakt van de kwetsbaarheid CVE-2020-1350 in de Windows DNS-server. Slecht nieuws: de kwetsbaarheid scoorde een 10 op de CVSS-schaal, wat betekent dat hij kritiek is. Goed nieuws: cybercriminelen kunnen hem alleen benutten als het systeem in de DNS-servermodus draait; in andere woorden: het aantal potentieel kwetsbare computers is relatief klein. Bovendien heeft het bedrijf al patches en een workaround uitgebracht.
Wat is de kwetsbaarheid en hoe is deze gevaarlijk?
Door CVE-2020-1350 kan een kwaadwillende DNS-servers die op Windows Server draaien op afstand schadelijke code uitvoeren. In andere woorden: de kwetsbaarheid behoort tot de RCE-klasse. Om CVE-2020-1350 te benutten moet men een speciaal gegenereerd verzoek naar de DNS-server verzenden.
Code van derden wordt uitgevoerd in de context van het LocalSystem-account. Dit account heeft uitgebreide privileges op de lokale computer en fungeert als een computer op het netwerk. Bovendien herkent het beveiligingssubsysteem het LocalSystem-account niet. Volgens Microsoft is het grootste gevaar van de kwetsbaarheid dat hij gebruikt kan worden om een dreiging over een lokaal netwerk te verspreiden, oftewel: hij is geclassificeerd als wormable.
Wie bevinden zich in het risicogebied van CVE-2020-1350?
Alle versies van Windows Server zijn kwetsbaar, maar alleen als die in de DNS-servermodus draaien. Als uw bedrijf geen DNS-server heeft of een DNS-server gebruikt die is gebaseerd op een ander besturingssysteem, hoeft u zich nergens zorgen om te maken.
Gelukkig werd de kwetsbaarheid ontdekt door Check Point Research, en tot nog toe bestaat er geen openbare informatie over hoe hij benut kan worden. Daarnaast bestaat er momenteel geen bewijs dat CVE-2020-1350 al door aanvallers is benut.
Het is echter waarschijnlijk dat cybercriminelen zodra Microsoft aanraadde om het systeem te updaten op zoek zijn gegaan naar kwetsbare DNS-servers en de uitgebrachte patches om te ontdekken hoe ze de kwetsbaarheid zouden kunnen benutten. Niemand zou moeten wachten met het installeren van de patch.
Wat te doen
Zoals hierboven vermeld, is de beste aanpak om de Microsoft-patch te installeren, die de methode van het verwerken van verzoeken door DNS-servers modificeert. De patch is beschikbaar voor Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server versie 1903, Windows Server versie 1909 en Windows Server versie 2004. U kunt hem downloaden via de Microsoft-pagina die is toegewijd aan deze kwetsbaarheid.
Sommige grote bedrijven hanteren echter interne regels en een bepaalde procedures voor software-updates, en hun systeembeheerders kunnen de patch wellicht niet onmiddellijk installeren. Om te voorkomen dat DNS-servers in deze gevallen worden gecompromitteerd, heeft het bedrijf ook een workaround voorgesteld. Dit omvat het doorvoeren van de volgende wijzigingen in het systeemregister:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
Na het opslaan van deze wijzigingen moet u de server opnieuw opstarten. Houd er rekening mee dat deze workaround mogelijk tot incorrecte serveroperaties kan leiden in het zeldzame geval dat de server een TCP-pakket ontvangt dat groter is dan 65.280 bytes, dus Microsoft raadt aan om de TcpReceivePacketSize-sleutel en zijn waarde te verwijderen en de registervermelding naar zijn originele staat terug te zetten zodra de patch eenmaal is geïnstalleerd.
Wij willen u er ook aan herinneren dat de DNS-server die in uw infrastructuur draait een computer is, net als elk ander endpoint. Die kunnen ook kwetsbaarheden bevatten die cybercriminelen proberen te benutten. Daarom vereist dit, net als bij elk ander endpoint binnen een netwerk, een beveiligingsoplossing, zoals bijvoorbeeld Kaspersky Endpoint Security for Business.