Sicherheitslücke SIGRed: Check Point findet gefährliche Schwachstelle in Microsofts Windows DNS Service

Christine Schönig Check Point

Sicherheitsforscher von Check Point Software Technologies sind auf eine Schwachstelle gestoßen, die seit 17 Jahre unentdeckt geblieben war. ‚SIGRed‘ ist so gefährlich, dass Microsoft der Behebung die höchstmögliche Priorität einräumte. Alle Windows-Server-Betriebssysteme seit 2003 sind betroffen. Ein Patch steht bereit, muss aber manuell installiert werden. Außerdem existiert ein temporärer Workaround. 

San Carlos, Kalifornien – 23. Juli 2020 – Das Check Point Research Team von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), entdeckte eine Schwachstelle in ‚Windows DNS‘, dem Domain Name Service von Microsoft für alle Windows-Server-Betriebssysteme, zurückgehend bis zur Version von 2003. Ohne diesen Dienst, der als eine Art Telefonbuch im Internet für Verbindungsanfragen aller Art fungiert, könnten die Systeme nicht funktionieren und das Internet wäre in dieser Form unmöglich. Aus diesen Gründen kann Microsoft den Dienst nicht zur Wartung abschalten, sondern muss ihn im Betrieb bearbeiten.

Die Forscher von Check Point informierten am 19. Mai 2020 verantwortungsbewusst die Kollegen von Microsoft über Ihre Erkenntnisse. Diese arbeiteten sofort an einer Lösung des Problems. Der entsprechende Patch wurde nun im Rahmen des ‚Patch-Dienstag‘ von Microsoft am 14. Juli 2020 ausgerollt. Entscheidend dabei: Der Patch wird nicht automatisch installiert. Er muss manuell eingespielt werden.

‚SIGRed‘, wie die Experten ihre Entdeckung nannten, ermöglicht Hackern den Zugang zu einem Server mit Windows-Betriebssystem, sowie den wiederrechtlichen Erwerb von Administratoren-Privilegien. Zudem wurde die Schwachstelle als ‚Wormable‘ eingestuft, das bedeutet, sie würde es Angreifern ermöglichen, weitere Teile der Infrastruktur und weitere Rechner zu infizieren – ohne menschliches Zutun und innerhalb weniger Minuten. Dieser Umstand führte dazu, dass Microsoft ‚SIGRed‘ mit der höchstmöglichen Risikobewertung versah: CVSS 10.0. Angreifer könnten über diese Schwachstelle die Kontrolle über den attackierten Server übernehmen, wenn sie diese Sicherheitslücke ausnutzen und gefälschte Anfragen an den DNS-Server des Unternehmens senden. Das würde es ihnen sehr einfach ermöglichen, schädliche Befehlszeilen auszuführen, um in das gesamte Netzwerk einzudringen. Somit wären sie in der Lage, den Mail-Verkehr zu manipulieren und den Netzwerkverkehr von Benutzern einzusehen, außerdem Dienste unerreichbar zu machen, Zugangsdaten zu sammeln und Malware einzuspeisen. Tatsächlich könnten Hacker so Stück für Stück die vollständige Kontrolle über die virtuelle Infrastruktur eines Unternehmens erlangen.

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH, mahnt daher: „Eine Verwundbarkeit des DNS-Servers ist eine sehr ernste Sache, da der Dienst mit erhöhten Privilegien läuft und ein Angreifer nur Zentimeter davon entfernt ist, ohne weiteres Zutun des Opfers, in die gesamte Organisation einzudringen. Es gibt nur eine Handvoll dieser Schwachstellentypen, die bisher überhaupt veröffentlicht wurden. Jedes Unternehmen, welches den Microsoft DNS-Server nutzt, ist daher einem großen Risiko ausgesetzt, wenn keine entsprechende Sicherheitslösung existiert oder der veröffentlichte Patch unverzüglich eingespielt wird. Das Ergebnis kann ein völliger Verlust der Kontrolle über das eigene Unternehmensnetzwerk sein. Zudem befindet sich diese Schwachstelle seit mehr als 17 Jahren im Code von Microsoft und wir wissen nicht, was bisher schon geschehen ist.“

Check Point empfiehlt Unternehmen und Windows-Nutzern dringend, den Patch zu installieren, um die Schwachstelle zu schließen. Er wird nicht automatisch eingespeist. Außerdem schützt Check Point IPS Blade zuverlässig gegen diese Schwachstelle unter der Bezeichnung: Microsoft Windows DNS Server Remote Code Execution (CVE-2020-1350).

Falls ein Unternehmen, aus welchem Grund auch immer, den Patch nicht sofort installieren möchte, hat Check Point außerdem einen Workaround entworfen. Zu diesem Zweck muss in die Kommandokonsole (CMD) der folgende Befehl eingeben werden:

reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS

Das legt die maximale Länge einer DNS-Anfrage über TCP auf 0xFF00 fest und sollte es damit unmöglich machen, die Lücke weiterhin auszunutzen.

Alle Informationen rund um SIGRed und die Gefahren dahinter lesen Sie unter: https://blog.checkpoint.com/2020/07/14/sigred-this-is-not-just-another-vulnerability-patch-now-to-stop-the-next-cyber-pandemic/

Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/

Alle Blogbeiträge von Check Point lesen Sie hier: https://blog.checkpoint.com/

Folgen Sie Check Point auf:

Twitter: http://www.twitter.com/checkpointsw

Facebook: https://www.facebook.com/checkpointsoftware

Blog: http://blog.checkpoint.com

YouTube: http://www.youtube.com/user/CPGlobal

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

Folgen Sie Check Point Research hier:

Blog: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_

Über Check Point Research

Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.

Über Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity‘ Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.