17 Jahre alter hochkritischer Bug in Windows-DNS

3. August, 2020

Wie CPU-Hersteller bereits 2018 leidvoll erfahren mussten, können vergangene Design-Entscheidungen fatale Konsequenzen nach sich ziehen. Nun wurde ein fehlerhafter Programmteil für Windows-Server erkannt, der sich lange in den sich stetig weiterentwickelnden Systemen „versteckt“ hatte. Das Ergebnis ist ein massives Sicherheitsproblem.

Bemerkenswert ist die für IT-Begriffe fast ewige Geschichte: Der Ursprung des Codes konnte auf 17 Jahre zurückverfolgt werden und hat nun den Hersteller Microsoft eingeholt. Der von Check Point im Windows-Server Systemcode nachgewiesene Fehler erhält den höchsten CVSS Score von 10.0. [1]

Hochkritischer Fehler mit Fähigkeit zur Selbstverbreitung

Sowohl die Wahrscheinlichkeit einer Ausnutzung als auch die möglichen Schadensauswirkungen erhielten höchste Bewertungen. Die fehlerhafte Routine existiert seit vielen Jahren und kann über das Netzwerk ausgenutzt und weiterverbreitet werden: Der Fehler ist „wormable“. Der Bug ist im Teilsystem DNS – dem Domain-Name-System – beheimatet und kann somit von einem Server zum nächsten springen. DNS ist nicht nur ein essenzieller Teil des TCP/IP-Protokolls und für jegliche Kommunikation nötig, sondern wird auch zwischen Windows Clients und Server vorausgesetzt. Der Dienst kann somit nicht einfach eingeschränkt oder deaktiviert werden.

Eine Infektion kann sich ohne jegliche Interaktion über ein weitreichendes Netzwerk ausbreiten und ist daher hochkritisch. Mit dem Patch-Tuesday am 14. Juli wurde – zusammen mit 122 anderen Fehlerbehebungen – ein Update ausgeliefert. Es gilt daher alle Systeme so schnell als möglich zu aktualisieren. Nahezu alle gängigen Versionen Windows Server von 2003 bis 2019 sind betroffen. [2]

SIGRed: Fehler im DNS System von Microsoft

Der Fehler betrifft eine veraltete Routine, die eine Handhabung von DNS-Antworten beim Windows-DNS-Server bereitstellt. Der betroffene Nachrichtentyp ist „SIG query“ und eine inzwischen nicht mehr verwendete Methode, um die Authentizität von DNS-Antworten zu verifizieren. Wird eine Antwort größer als 64kB mit diesem Typen an einen Server zurückgeschickt, kann beliebiger Code auf dem System ausgeführt werden. Da der DNS-Dienst typischerweise nur auf wichtigen Komponenten mit den höchsten Privilegien läuft, sind höchst kritische Worst-Case-Szenarien vorstellbar. Für schnellste Reaktionen hat Microsoft einen Workaround-Guide veröffentlicht, in dem die Größe der empfangen DNS-Antworten behelfsmäßig beschränkt wird. [3]

Software und Hardware wird immer fehlerbehaftet sein

Wie Sicherheitsforscher herausfanden, ist nur der Code-Teil für Windows-Server verwundbar, nicht aber die Routinen der Windows-Clients. Dies legt den Schluss nahe, dass der Hersteller zwei getrennte Zweige für Client und Server unterhält und Fehlerbereinigungen nicht genügend austauscht. Die Forscher hielten die Veröffentlichung der im Mai gewonnen Erkenntnisse zurück, bis Microsoft ein Software-Update im Juli verteilen konnte.

SIGRed zeigt erneut, dass immer mit bisher unbekannten Fehlern in Soft- und Hardware gerechnet werden muss. Eine umfassende Planung und Vorbereitung für Fehler ist daher ein wesentlicher Teil im IT-Security-Management.

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download