IT-Sicherheit 16.07.2020

Kritische Schwachstelle in Microsoft Windows DNS-Server – Wir unterstützen Sie.

Check Point hat eine kritische Schwachstelle gefunden, die in allen Microsoft Windows DNS-Servern existiert: Im schlimmsten Fall kann sich ein externer Angreifer über einen einfachen Klick eines Benutzers im Internet Explorer Zugriff auf das gesamte Firmennetz (Active Directory) verschaffen. Alle Windows DNS-Server seit Version 2003 sind betroffen – Microsoft hat bereits einen Patch zur Verfügung gestellt.

Artikel teilen

Niklas Lay
Network & Security Consultant

Der Windows DNS-Server, der in der überwiegenden Mehrheit der Infrastrukturen zu finden ist und der in der Regel auf jedem Active Directory Domain Controller installiert ist, wurde kürzlich von Check Point unter die Lupe genommen. Dabei fand das Research-Team von Check Point eine schwerwiegende Sicherheitslücke, die bereits seit 17 Jahren existiert. Die Schwachstelle, „SIGRed“ getauft, erlaubt es einem Angreifer, beliebigen Schadcode im Benutzerkontext des DNS-Serverdienstes auszuführen und dadurch Domain-Admin-Rechte zu erlangen, was in den meisten Infrastrukturen einen der schwerwiegendsten Sicherheitsvorfälle darstellt. Microsoft selber stuft die Schwachstelle (CVE 2020-1350) mit der höchstmöglichen Risikobewertung (CVSS Score 10.0) und als „wormable“ ein, was bedeutet, dass Angreifer die Möglichkeit haben, sich von einem System auf ein anderes zu bewegen.

Die Sicherheitslücke betrifft dabei nur den DNS-Server-Dienst, nicht aber den DNS-Client-Dienst, der auf Windows Client-Betriebssystemen genutzt wird. Durch das Erlangen der Rechte als Domain-Administrator, sind aber auch Daten auf diesen Clients gefährdet.

Technischer Hintergrund.

Die Implementierung des DNS-Serverdienstes weist einen Fehler in der Behandlung von Antwort-Paketen einer DNS-Anfrage auf: Ist ein Paket speziell manipuliert und größer als erlaubt, so führt dies zu einem klassischen Überlauf, einem sogenannten „Heap-Based Buffer Overflow“. Dabei stürzt der Dienst ab und Windows führt den eingeschleusten Code aus. Da Windows einen abgestürzten DNS-Dienst mehrfach automatisch neu startet, fällt dieser Fehler ohne eine spezielle Überwachung, z. B. durch ein genau darauf trainiertes SIEM-System, nicht auf.

Die Ausführung des Codes findet im Benutzerkontext des DNS-Dienstes statt. Da der Code in der Regel mit erhöhten Berechtigungen („LOCAL SYSTEM“) ausgeführt wird, erhalten Angreifer bei erfolgreicher Ausnutzung die Rechte eines Domain-Administrators, wodurch die gesamte Unternehmensinfrastruktur gefährdet ist.

Um die Schwachstelle aktiv auszunutzen, müssen die Angreifer allerdings tief in die Trickkiste greifen und gleich mehrere Bedingungen erfüllen:

  • Der Angreifer muss über eine eigene DNS-Zone und einen dazugehörigen, präparierten DNS-Server verfügen.
  • Ein interner Client muss die DNS-Auflösung mehrerer vom Angreifer injizierter Namen anstoßen.
  • Der DNS-Server muss NS-Records des Forwarders verarbeiten.
  • Die Netzwerk-Firewall muss dem DNS-Server erlauben, per TCP (nicht UDP!) Port 53 zu kommunizieren.

Der erste Punkt ist dabei der initiale Angriffsvektor. Entweder der Benutzer stolpert über einen Drive-By-Download – oder aber er muss selbst aktiv werden und einen Link anklicken, was häufiger vorkommt. Dieser bösartige Link kann per E-Mail oder eingebettet in eine Webseite zum Benutzer transportiert werden. Natürlich muss für das Auslösen einer Namensauflösung nicht ein Link angeklickt werden – dafür gibt es einfachere Methoden. Allerdings wird eine normale Namensauflösung von einem DNS-Server über das UDP-Protokoll bedient und nicht über TCP, was aber für den Angriff notwendig ist. Angreifer können nun mehrere Tricks verwenden, um entweder den DNS-Server auf TCP zu bewegen oder den Browser dazu zu bringen, den DNS Query zu initiieren. Letzteres ist mit aktuellen Browsern wie Chrome oder Firefox nicht mehr möglich – wohl aber mit dem Internet Explorer, der in Unternehmen weit verbreitet ist.

Erste Sicherheitsregel: Patchen!
Zweite Sicherheitsregel: Patchen!
Dritte Sicherheitsregel: Patchen!

Der Windows DNS-Serverdienst wird standardmäßig mit jedem Active Directory Domain Controller mit installiert. Durch die zentrale Funktion zur Namensauflösung kann er nicht einfach vorsorglich abgeschaltet werden, sondern muss im Betrieb gesichert werden.

In Absprache mit Microsoft hat Check Point die Schwachstelle nicht unmittelbar nach der Entdeckung publiziert, sondern einige Zeit zurück gehalten, um es Microsoft zu ermöglichen, einen Patch zu entwickeln. Am 14. Juli 2020 (Patch-Day) wurde ein entsprechendes Update bereitgestellt. Der Patch ist für alle Windows Server-Versionen von 2008 SP2 bis zur aktuellen Version von Windows Server 2019 verfügbar – für Windows Server 2003 allerdings nicht mehr.

Aufgrund des hohen Schadpotentials empfehlen wir dringend, den Patch sofort einzuspielen.

Sollte dies nicht möglich sein, hat Microsoft einen Workaround veröffentlicht, der die maximal zulässige Größe von TCP-basierten DNS Antwort-Paketen reduziert. Folgende Befehle setzen die notwendigen Registry-Einträge und starten den DNS-Dienst neu:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f

net stop DNS && net start DNS

Alternativ zur Behebung direkt an der Ursache, kann auch ein Intrusion-Prevention-System verwendet werden, um den Angriff zu stoppen. So hat Check Point in seinem „IPS Blade“ ein passendes Pattern dazu veröffentlicht – andere Hersteller werden kurzfristig folgen.

Fazit.

Es hat sich wiederholt gezeigt, dass trotz hoher Anstrengungen der IT-Industrie immer wieder hochkritische Sicherheitslücken auftauchen. Besonders in alten Codes finden sich häufig Lücken, die lange unentdeckt geblieben sind. Glücklicherweise ist bislang noch kein aktiver Angriff beobachtet worden, der die Lücke ausnutzt – sie ist allerdings auch erst vor zwei Tagen veröffentlich worden. Es bleibt also bei der bekannten Weisheit: Berücksichtigen Sie unbedingt die drei oben genannten Regeln! Wenden Sie sich an Ihren Bechtle Ansprechpartner, wenn Sie mehr erfahren möchten.


Quellen und weitere Informationen.

Original Check Point Artikel

Microsoft Artikel zum Workaround

Microsoft CVE-Beschreibung inkl. Liste der Windows Server-Versionen und dazugehöriger Patches