Skoči na vsebino

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Datum objave: 16. 7. 2020
CVE oznaka: CVE-2020-1350

Povzetek

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account. Napadalci lahko ranljivost izkoristijo tudi posredno prek phishing povezave, poslane uporabniku na omrežju in tako zlorabijo tudi DNS strežnike, ki niso neposredno dostopni.

Opis

Microsoft je v sklopu julijskih popravkov za Windows operacijske sisteme objavil tudi popravek za DNS strežnik, ki odpravlja ranljivost, ki napadalcu omogoča zagon poljubne kode (RCE, Remote Code Execution) s pravicami uporabnika Local System Account. Ranljivost ima najvišjo oznako ranljivosti po CVSS lestvici (10). Podrobnosti so na voljo v Microsoftovemu obvestilu (glej povezave).

V primeru, ko Windows DNS strežnik ni neposredno dostopen zunanjim uporabnikom, lahko napadalec z ustrezno oblikovanim sporočilom lokalnemu uporabniku po kliku na priloženo povezavo sproži DNS poizvedbo, ki ranljivost izkorišča. Podobno lahko napadalec doseže z okužbo sistema uporabnika na lokalnem omrežju. Ker je pogosto notranji DNS strežnik tudi Windows domenski kontroler in gosti Active Directory imenik, napadalcu zloraba sistema lahko omogoči hitro širjenje po omrežju organizacije na druge sisteme, krajo informacij ali izvedbo naprednega napada z izsiljevalskim virusom.

V času pisanja sicer še ni znano, da bi se ranljivost aktivno izkoriščala, pričakuje pa se, da se to lahko zgodi v roku nekaj dni.

Rešitev

Vsem skrbnikom Windows DNS strežnikov priporočamo takojšnjo namestitev popravka. Še pred namestitvijo tega se lahko v vmesnem času uporabi obvod z nastavitvijo v registru operacijskega sistema. Navodila so na voljo v Microsoft obvestilu na spodnji povezavi.

Povezave


Microsoft: Windows DNS Server Remote Code Execution Vulnerability
SI-CERT / 2019-05 Napredni napadi z izsiljevalskimi virusi

Preberite tudi

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Prva objava: 19. 8. 2021 Povzetek Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od …
Več

SI-CERT 2021-04 Kritična ranljivost Microsoft Windows Print Spooler servisa

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivost, je že javno objavljena.
Več

SI-CERT 2021-03 Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več