Original-URL des Artikels: https://www.golem.de/news/windows-server-sigred-ist-eine-wurmartige-kritische-luecke-in-windows-dns-2007-149655.html    Veröffentlicht: 15.07.2020 09:19    Kurz-URL: https://glm.io/149655

Windows Server

Sigred ist eine wurmartige kritische Lücke in Windows DNS

Der Bug betrifft alle Maschinen mit Windows Server 2003 bis 2019. Microsoft rät zum Patch, da sich Malware darüber selbst ausbreiten kann.

Microsoft hat eine Sicherheitslücke bekanntgegeben, die praktisch alle Windows-Server-Systeme betrifft. Sigred beschreibt einen Fehler im Windows DNS Server, Microsofts Implementation des Domain Name System für die Namensauflösung im Internet. Wird ein Gerät mit Windows Server OS mit der DNS-Serverrolle eingerichtet, ist die kritische Sicherheitslücke mit CVE-Nummer CVE 2020-1350 und einem Gefährlichkeitsscore von 10 aus 10 möglichen Punkten ausnutzbar. Gefunden und ausführlich erklärt wurde Sigred von Sagi Tzadi, der dazu auch einen Blog-Eintrag veröffentlicht hat.

Das Unternehmen rät Organisationen, die auf Windows Server 2003 bis 2019 setzen, den von Microsoft gestellten Patch sofort zu installieren. Andere DNS-Dienste wie etwa das unter Linux nutzbare Bind sind davon nicht betroffen. Auch ist die DNS-Implementation von Windows-Client-Betriebssystemen wie Windows 10 Home oder Pro laut Microsoft sicher vor Sigred. Der Fehler existiert auf Anwendungsebene in Windows Server und ist nicht im DNS-Protokoll selbst präsent.

Microsoft verteilt den Patch per Windows Update auf Windows-Server. Ein weiterer Workaround ist auch ein bestimmter Registry-Eintrag, den das Unternehmen im Sicherheitsdokument zur Lücke beschreibt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00

Dieser ist Microsofts empfohlene Alternative, wenn Server nicht direkt und sofort mit dem Patch versorgt werden können.

Malware kann sich automatisch im LAN verteilen

Sigred ermöglicht das Ausführen von Code aus der Ferne (Remote Code Execution) mit dem Systemrechten auf der betroffenen Maschine, was bei korrektem Angriff die gesamte Domäne in einem Unternehmen betreffen kann. Die Lücke tritt auf, wenn Windows Server bei einer DNS-Anfrage fehlschlägt. Die Fehlerbehandlung des Dienstes weist anscheinend Schwachpunkte auf, die ausgenutzt werden können. Deshalb können angreifende Parteien sie auslösen, wenn sie absichtlich böswillige DNS-Anfragen an einen Zielserver schicken.

Microsoft beschreibt Sigred als "wormable". Das Unternehmen nimmt also an, dass sich der Angriff als Malware zwischen verschiedenen Computern im gleichen Netz ohne menschliche Interaktion verteilen kann. Es könnten in kurzer Zeit also auch sekundäre DNS-Server und Backupsysteme im Unternehmen befallen werden.

 (on)


Verwandte Artikel:
Microsoft: Exchange Server 2010 bleibt neun Monate länger erhalten   
(20.09.2019, https://glm.io/143984 )
Microsoft: Googles Project Zero veröffentlicht Windows-Sicherheitslücke   
(13.06.2019, https://glm.io/141879 )
Österreich: Hackerangriff bei A1 Telekom   
(09.06.2020, https://glm.io/148984 )
Entwicklung: Microsoft beendet Windows-Support für PHP   
(10.07.2020, https://glm.io/149584 )
Compute Engine A2: Google packt Nvidias A100 in die Cloud   
(08.07.2020, https://glm.io/149518 )

© 1997–2020 Golem.de, https://www.golem.de/