Skoči na vsebino

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Datum objave: 16. 7. 2020
CVE oznaka: CVE-2020-1350

Povzetek

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account. Napadalci lahko ranljivost izkoristijo tudi posredno prek phishing povezave, poslane uporabniku na omrežju in tako zlorabijo tudi DNS strežnike, ki niso neposredno dostopni.

Opis

Microsoft je v sklopu julijskih popravkov za Windows operacijske sisteme objavil tudi popravek za DNS strežnik, ki odpravlja ranljivost, ki napadalcu omogoča zagon poljubne kode (RCE, Remote Code Execution) s pravicami uporabnika Local System Account. Ranljivost ima najvišjo oznako ranljivosti po CVSS lestvici (10). Podrobnosti so na voljo v Microsoftovemu obvestilu (glej povezave).

V primeru, ko Windows DNS strežnik ni neposredno dostopen zunanjim uporabnikom, lahko napadalec z ustrezno oblikovanim sporočilom lokalnemu uporabniku po kliku na priloženo povezavo sproži DNS poizvedbo, ki ranljivost izkorišča. Podobno lahko napadalec doseže z okužbo sistema uporabnika na lokalnem omrežju. Ker je pogosto notranji DNS strežnik tudi Windows domenski kontroler in gosti Active Directory imenik, napadalcu zloraba sistema lahko omogoči hitro širjenje po omrežju organizacije na druge sisteme, krajo informacij ali izvedbo naprednega napada z izsiljevalskim virusom.

V času pisanja sicer še ni znano, da bi se ranljivost aktivno izkoriščala, pričakuje pa se, da se to lahko zgodi v roku nekaj dni.

Rešitev

Vsem skrbnikom Windows DNS strežnikov priporočamo takojšnjo namestitev popravka. Še pred namestitvijo tega se lahko v vmesnem času uporabi obvod z nastavitvijo v registru operacijskega sistema. Navodila so na voljo v Microsoft obvestilu na spodnji povezavi.

Povezave


Microsoft: Windows DNS Server Remote Code Execution Vulnerability
SI-CERT / 2019-05 Napredni napadi z izsiljevalskimi virusi

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več

SI-CERT 2020-04 / Odpravljene ranljivosti Zoom videokonferenčnega sistema

Zoom je ena od široko uporabljanih videokonferenčnih platform. 1. aprila 2020 so bile odkrite varnostne ranljivosti odjemalcev za Windows in macOS.
Več