Volle Punktzahl – DNS-Schwachstelle SIGRed bekommt 10.0 auf der CVSS-Skala

Manchmal ist es ja durchaus erfreulich, wenn man mit 10 von 10 Punkten abschließt. In diesem Fall sieht es leider anders aus. SIGRed, eine gerade bekannt gewordene Schwachstelle in Windows DNS-Servern, erreicht die gefürchtete 10.0 von 10.0 Einstufung in der CVSS-Skala (Common Vulnerability Scoring System). Damit gehört SIGRed zu den gefährlichsten Schwachstellen, die in den letzten Monaten aufgetaucht sind. Die gute Nachricht: Seit Kurzem ist ein Patch dafür verfügbar und wird über Windows Update automatisch installiert. Die schlechte: SIGRed ist 17 Jahre alt. Dass in dieser Zeit niemand die Schwachstelle gefunden und ausgenutzt hat ist unwahrscheinlich. Jetzt ist die Katze auf alle Fälle aus dem Sack und Windows-Admins auf der ganzen Welt sollten sich beeilen, den entsprechenden Patch einzuspielen.

Gefunden wurde die Schwachstelle von Check Point Research, dem Analyse- und Forschungszweig der israelischen Sicherheitsfirma. Laut den Analysten lässt sich SIGRed in den DNS-Server-Versionen von Windows 2003 bis 2019 ausnutzen. DNS-Server auf Basis anderer Betriebssysteme sind nicht davon betroffen. Wenn ein Exploit erfolgreich angewandt wird, erhält der Angreifer Domain-Admin rechte auf dem DNS-Server. Das bedeutet in der Cyberkriminellen-Welt den Jackpot, besser geht es nicht. Ein derartig kompromittierter Server ist für sich bereits eine massive Gefahr, denn durch manipulierte DNS-Diensteinträge können Man-in-the-Middle Angriffe gefahren werden. Angreifer können den Server aber auch nutzen, um Rights-Escalation durchzuführen und über diesen Server auf andere Server und noch höher berechtigte Server zuzugreifen.

Der eigentliche Mechanismus der Schwachstelle ist ein simpler Buffer-Overflow. Durch manipulierte DNS-Anfragen kann der Overflow ausgelöst und eingeschleuster Code ausgeführt werden. Die Beschreibung kann man im Detail im Research Blog von Check Point nachlesen. Erschwerend kommt noch hinzu, dass Microsoft SIGRed als „wormable“, also „wurmfähig“ einstuft. Das bedeutet, dass ein kompromittierter Server automatisch und ohne weiteres Zutun im lokalen Netz andere Windows DNS-Server infizieren und so ein komplettes Netz unter seine Kontrolle bringen kann. Eigentlich sollte so etwas in einem gut abgesicherten Netz nicht funktionieren, da Microsegmentierung unnötige Kommunikationsbeziehungen unterbinden können. Doch erstens nutzen bei weitem nicht alle Organisationen Mikrosegmentierung und zweitens sind selbst dann DNS-Anfragen meist außen vor. Mit der beschriebenen Aggressivität von SIGRed könnte ein komplettes Netz in Minuten übernommen werden.

Check Point informierte Microsoft am 19. Mai über ihre Entdeckung. Die Entwickler bei Microsoft reagierten in sehr kurzer Zeit mit dem Patch „Microsoft Windows DNS Server Remote Code Execution (CVE-2020-1350)“. Es wird empfohlen den Patch so schnell wie möglich anzuwenden, da laut den Analysten von Check Point alle notwendigen Parameter zum Ausnutzen der Schwachstelle für einen kompetenten Angreifer verfügbar sind. Wer den Patch nicht einspielen kann, findet auf der Website von Microsoft mehrere Hinweise für Workarounds als Soforthilfe. Der einfachste funktioniert in Form einer Registry-Änderung, mit der die Größe eingehender DNS-Anfragen limitiert wird. Eine Beschreibung ist hier verfügbar. Perfekt ist der Workaround nicht. Auch legitime Pakte könnten durch die Beschränkung abgelehnt werden, wovon der anfragende DNS-Client nichts erfährt. Trotzdem sollte bei einem so großen Risiko die potenzielle Diensteinschränkung in Kauf genommen werden.

SIGRed ist entdeckt und (hoffentlich) bald überall gepatcht. Ein richtig gutes Gefühl hinterlässt das Ganze trotzdem nicht. DNS-Server sind per se nach Außen offen, damit sind sie immer angreifbar. Gegen eine Schwachstelle wie SIGRed gibt es an sich keine Handhabe. Man kann lediglich versuchen, die Schadenswirkung zu begrenzen: Durch ein angewandtes Rollen/Rechtemodell (damit Rights Escalation fehlschlägt), durch Netzsegmentierung (damit die Wurm-Charakteristik schnell ins Leere läuft) und durch ein gut gepflegtes Intrusion Prevention System (dass ungewöhnliche DNS-Pakete im LAN erkennt und blockt).