Roberto Tafuri

SIGRed – Linee guida per la grave vulnerabilità su Windows Server con ruolo DNS

Visualizzazioni: 2.521

Come ogni secondo martedì del mese (il cosiddetto Patch Tuesday), Microsoft ha rilasciato i nuovi aggiornamenti di sicurezza per i propri prodotti e sistemi operativi client/server.

Una delle tante patch di sicurezza inclusa nell’aggiornamento cumulativo di questo mese va a colmare una grave falla inclusa in tutte le edizioni di Windows Server (2003 -> 2019) con ruolo DNS (Domain Name System) abilitato.

Parliamo della vulnerabilità SIGRed (CVE-2020-1350), che se sfruttata efficacemente, può portare il server attaccato ad una condizione di buffer overflow. Di conseguenza l’infrastruttura coinvolta potrebbe essere esposta a rischi di sicurezza.

I ricercatori di CheckPoint, che hanno scoperto la vulnerabilità vecchia di 17 anni, hanno spiegato nel dettaglio alla pagina https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/ come un attaccante possa compromettere l’intera infrastruttura e garantirsi i privilegi di Domain Administrator utilizzando una malicious DNS response.

Il bug ha come indice di pericolosità 10/10 e la casa di Redmond suggerisce di applicare il prima possibile gli ultimi aggiornamenti sui sistemi coinvolti.

Per chi non avesse la possibilità di installare l’ultimo Cumulative Update, è possibile mitigare la vulnerabilità (ma non risolverla a livello di codice) tramite l’applicazione di una chiave di registro:

Percorso: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Nome Chiave: TcpReceivePacketSize Tipo DWORD

Valore: 0xFF00

Non è necessario riavviare il server ma solo il servizio DNS ( prompt dei comandi come amministratore net stop dns && net start dns)

Per risolvere la vulnerabilità è necessario installare gli aggiornamenti più recenti tramite Windows Update o tramite download diretto consultando la pagina https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350.

L’installazione costante degli aggiornamenti all’interno della propria infrastruttura consente di aumentare notevolmente il livello di sicurezza.

Essendo una vulnerabilità grave, vi invito ad applicare il prima possibile l’azione correttiva più consona al vostro contesto.