Microsoft xử lý lỗ hổng nghiêm trọng trong server DNS Windows
An toàn thông tin - Ngày đăng : 15:04, 20/07/2020
Lỗ hổng này đã tồn tại 17 năm có số hiệu CVE-2020-1350 được đánh giá ở mức nguy cấp với số điểm mức nguy cấp bảo mật (CVSS) là 10 và ảnh hưởng tới các phiên bản server Windows từ năm 2003 tới năm 2019. SigRed được nhà nghiên cứu Sagi Tzaik của Check Point phát hiện và gây ảnh hưởng tới hệ thống tên miền Window của Microsoft (Microsoft Windows DNS).
Lỗ hổng có thể bị khai thác bởi một kẻ tấn công từ xa không được xác thực để chiếm quyền quản trị tên miền của các máy chủ mục tiêu và chiếm toàn bộ quyền điều khiển cơ sở hạ tầng CNTT của tổ chức.
Tin tặc cũng có thể khai thác lỗ hổng SigRed bằng việc gửi các truy vấn DNS có chứa mã độc lừa đảo đặc biệt tới máy chủ tên miền của Window.
Theo phân tích của CheckPoint: "SIGRed có thể bị kích hoạt bởi một phản hồi DNS độc hại. Vì dịch vụ chạy các đặc quyền nâng cao nên nếu khai thác thì tin tặc sẽ chiếm được quyền quản trị tên miền, xâm nhập được toàn bộ cơ sở hạ tầng của công ty".
Ngoài ra, tin tặc có thể khai thác lỗ hổng để thực thi mã tùy ý, chặn, điều khiển lưu lượng mạng và đánh cắp dữ liệu nhạy cảm. Lỗ hổng lưu trú trong cách mà Windows DNS server xử lý việc nhận truy vấn DNS cũng như cách phân tích cú pháp của các truy vấn DNS được chuyển tiếp.
Theo các chuyên gia thì khi dịch vụ khởi chạy trong các đặc quyền leo thang, nếu kẻ tấn công xâm phạm được với dịch vụ này, chúng có thể chiếm các quyền quản trị tên miền.
Check Point đã chia sẻ những phát hiện của mình với Microsoft vào ngày 19/5 và lỗ hổng CVE-2020-1350 được xác định vào ngày 18/6.
Theo Microsoft: "Chúng tôi đã phát hành bản cập nhật cho CVE-2020-1350. Sự việc này xuất phát từ một lỗ hổng trong việc thực thi của máy chủ DNS của Microsoft và ảnh hưởng tới tất cả các phiên bản máy chủ của Windows. Các máy chủ DNS không phải của Microsoft thì không bị ảnh hưởng. Các lỗ hổng "wormable" có khả năng lây lan qua phần mềm giữa các máy tính có chứa lỗ hổng mà không cần sự tương tác người dùng. Windows DNS Server là một thành phần mạng lõi. Mặc dù lỗ hổng này chưa được biết đến trong các hoạt động tấn công hiện tại, nhưng khách hàng cần phải áp dụng các bản cập nhật Windows càng sớm càng tốt".
Microsoft chưa phát hiện được các cuộc tấn công khai thác lỗ hổng này trong môi trường bên ngoài, nhưng họ xác nhận rằng lỗ hổng đã tồn tại suốt 17 năm qua.
Như một giải pháp tạm thời để giảm thiểu rủi ro của việc khai thác lỗ hổng SigRed, Check Point khuyến nghị người dùng nên cài đặt chế độ tin nhắn DNS trên TCP với độ dài tối đa đến 0xFF00.
Theo kết luận của các nhà nghiên cứu của CheckPoint: "Chúng tôi tin rằng khả năng lỗ hổng bị khai thác là rất cao vì trong nội bộ của chúng tôi đã tìm thấy tất cả những yêu cầu sơ đẳng nhất cho việc khai thác lỗ hổng này. Do hạn chế về thời gian, chúng tôi không tiếp tục theo đuổi việc khai thác lỗ hổng (bao gồm cả kỹ thuật của những khai thác ban đầu), nhưng chúng tôi khẳng định rằng một kẻ tấn công có quyết tâm có thể khai thác lỗ hổng này".