Microsoft on julkaissut päivityksen Windows DNS-palvelun kriittiseen haavoittuvuuteen | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Microsoft on julkaissut päivityksen Windows DNS-palvelun kriittiseen haavoittuvuuteen

15. heinäkuuta 2020 klo 13.20, päivitetty 5. maaliskuuta 2021 klo 9.34

Microsoft julkaisi 14.7 muiden kuukausittaisten päivitysten yhteydessä Windows DNS-palvelimeen liittyvän kriittisen haavoittuvuuden. SIGRed-haavoittuvuus koskee kaikkia nimipalvelinroolissa toimivia Windows Server-versioita. Mikäli hyökkääjä pääsee lähettämään palvelimelle nimipalvelinkyselyjä, voi hän haavoittuvuutta hyväksi käyttämällä suorittaa siinä omia komentojaan.

Windows DNS-serverin 14.7 julkaistu haavoittuvuus SIGRed mahdollistaa etähyökkäyksellä admin-tasoisten käyttäjävaltuuksien saamisen. Haavoittuneiden kohdepalvelinten avulla voi olla mahdollista ottaa haltuun myös muita IT-järjestelmiä.

Haavoittuvuutta voi käyttää hyväkseen lähettämällä tätä varten räätälöityjä haitallisia DNS-kyselyjä Windows DNS-serverille ja näin suorittaa mielivaltaista koodia kohdepalvelimelle. Tunkeutuja pystyy tällä tavoin esimerkiksi manipuloimaan käyttäjien sähköposteja, verkkoliikennettä, sulkemaan palveluita ja käymään läpi käyttäjätunnuksia. Check Pointin tutkija vahvisti, että hyökkäys on mahdollista toteuttaa siten, että se leviää saastuneelta tietokoneelta toiselle ilman ihmisen vuorovaikutusta.

4.3.2021 Uutisoitiin ensimmäisestä julkisuuteen tulleesta haavoittuvuuden hyväksikäyttökoodista. Päivitykset ovat tulleet saataville kesällä 2020 ja päivittämistä suositellaan vahvasti.

Haavoittuvuuden kohde

Kaikki Windows Server -versiot

Mistä on kysymys?

Windows on julkaissut 14.7 päivitykset, jotka tulee asentaa mahdollisimman pian.

Mikäli päivittäminen heti ei ole mahdollista, tarjoaa Microsoft haavoittuvuuteen myös väliaikaisen korjauksen rekisterimuutoksen avulla.

Mitä voin tehdä?

BleepingComputer: Windows DNS SIGRed bug gets first public RCE PoC exploit (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

5. maaliskuuta 2021 klo 9.34 Hyväksikäyttökoodi saatavilla, CVSS-arvon lisääminen jälkikäteen sekä uusi linkki.