|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Kritische Schwachstelle in Windows DNS Servern

15. Juli 2020

Aktuell erregt die unter CVE-2020-1350 veröffentlichte Schwachstelle großes Aufsehen: Wird sie in den Windows DNS Servern ausgenutzt, ist eine Remote Code Execution möglich, die einem Angreifer aus der Ferne Administratorrechte im Domänenkontext bringen kann. Dies ist mit einer Kompromittierung des gesamten Netzwerkes gleichsetzbar.

Bedrohungslage

Ein Angreifer kann beispielsweise über eine präparierte Website einen Client dazu bewegen, eine DNS-Anfrage an den internen Windows DNS Server zu stellen, die von diesem wiederum an einen schädlichen Webserver adressiert wird. Der manipulierte Server wird im DNS-Header eine komprimierte Payload verstecken, die auf dem Microsoft DNS Server zwischengespeichert wird. Mit dem nächsten Aufruf der Adresse wird der Microsoft DNS Server diese Payload entpacken und damit einen Heap Buffer Overflow herbeiführen. Dadurch wird eine Remote Code Execution im administrativen Systemkontext möglich. Diese Rechte kann der Angreifer zum Erlangen von Domänenrechten weiterverwenden.

Das offizielle Advisory von Microsoft können Sie hier abrufen:

https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability

Betroffene Systeme

Diese Sicherheitslücke betrifft alle Windows DNS Server.

Lösung

Die Schwachstelle wird in den Juli-Sicherheitsupdates für Windows behandelt. Daher besteht die Empfehlung, diese Updates möglichst zeitnah auf den Windows DNS Servern zu installieren.

Die nachfolgende Liste enthält die erforderlichen Updates für die verschiedenen Windows Server Distributionen.

KB4565536

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)

https://support.microsoft.com/en-us/help/4565536/windows-server-2008-update-kb4565536

KB4565529

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)

https://support.microsoft.com/en-us/help/4565529/windows-server-2008-update-kb4565529

KB4565524

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)

https://support.microsoft.com/en-us/help/4565524/windows-7-update-kb4565524

KB4565539

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)

https://support.microsoft.com/en-us/help/4565539/windows-7-update-kb4565539

KB4565537

Windows Server 2012

Windows Server 2012 (Server Core)

https://support.microsoft.com/en-us/help/4565537/windows-server-2012-update-kb4565537

KB4565535

Windows Server 2012

Windows Server 2012 (Server Core)

https://support.microsoft.com/en-us/help/4565535/windows-server-2012-update-kb4565535

KB4565541

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core)

https://support.microsoft.com/en-us/help/4565541/windows-8-1-kb4565541

KB4565540

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core)

https://support.microsoft.com/en-us/help/4565540/windows-8-1-kb4565540

KB4565511

Windows Server 2016

Windows Server 2016 (Server Core)

https://support.microsoft.com/en-us/help/4565511/windows-10-update-kb4565511

KB4558998

Windows Server 2019

Windows Server 2019 (Server Core)

https://support.microsoft.com/en-us/help/4558998/windows-10-update-kb4558998

KB4565483

Windows Server, version 1903 (Server Core)

Windows Server, version 1909 (Server Core)

https://support.microsoft.com/en-us/help/4565483/windows-10-update-kb4565483

KB4565503

Windows Server, version 2004 (Server Core)

https://support.microsoft.com/en-us/help/4565503/windows-10-update-kb4565503

Workaround

Falls das Installieren der Updates nicht möglich ist, kann ein Workaround auf den DNS-Servern implementiert werden, der die erforderliche Komplexität für einen Angriff erhöht. Die Schwachstelle wird dadurch allerdings nicht vollständig geschlossen.

Das Auflösen von DNS-Namen mit einer Antwort des Upstream-Servers von mehr als 65280 bytes wird damit nicht mehr möglich sein.

  1. Erstellen Sie in der Windows Registry ein DWORD unter „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters“ mit dem Namen „TcpReceivePacketSize“
  2. Setzen Sie den Wert des Eintrags auf 0xFF00
  3. Starten Sie den DNS Service neu

Bild (c) Redrecords / Pexels

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Karriere
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen