IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

SIGRed označen CVSS 10.0

SIGRed

Co kdyby hackeři mohli jednoduše proniknout do podnikových sítí, zachytit a manipulovat e-maily uživatelů i síťový provoz, vyřadit služby nebo krást přihlašovací údaje? Co kdyby mohli získat kontrolu nad podnikovou sítí víceméně libovolné organizace?

Bohužel to není jen teoretická otázka. Výzkumný tým objevil kritickou zranitelnost SIGRed, která útočníkům umožňuje zneužít Windows DNS servery, tedy základní součást jakéhokoli síťového prostředí systému Windows. Microsoft dokonce kritickou zranitelnost označil jako zranitelnost s nejvyšším rizikem (CVSS 10.0) a vydal záplatu, kterou Check Point důrazně doporučuje okamžitě implementovat všem organizacím, aby se zabránilo jejímu dalšímu zneužití. Ohrožené jsou všechny organizace, které používají Windows Server verze 2003 až 2019.

Proč je tato zranitelnost tak kritická?

DNS můžeme nazvat „telefonním seznamem internetu“. Jména webových stránek, která všichni používáme a jsou nám srozumitelná a dobře zapamatovatelná, převádí do řeči čísel, která je zase srozumitelná počítačům při hledání webů nebo odesílání e-mailů. Tyto servery jsou prakticky v každé organizaci a pokud dojde k jejich zneužití, hacker může získat práva správce domény a zachytávat a manipulovat e-maily uživatelů a síťový provoz, vyřadit služby, krást přihlašovací údaje uživatelů a podobně. Jednoduše můžeme říci, že by hacker v takovém případě mohl získat úplnou kontrolu nad celým IT organizace.

Aby došlo ke zneužití zranitelnosti SIGRed, stačí navíc útočníkovi jakkoli navázat komunikaci s Windows DNS serverem, ať už přímým připojením do podnikové sítě, přes Wi-Fi nebo zneužitím přes webový prohlížeč.

Jak nebezpečný je problém s DNS manipulací, dokazuje i fakt, že v roce 2019 vydalo americké ministerstvo pro vnitřní bezpečnost nouzovou směrnici, která nařídila všem americkým federálním civilním agenturám zabezpečit přihlašovací údaje pro záznamy spojené s internetovými doménami. Stalo se tak v reakci na mezinárodní útočnou kampaň zaměřenou právě na DNS. Útočníci zneužívali DNS servery, a byli tak schopni krást přihlašovací údaje například k e-mailům vládních a soukromých subjektů na Blízkém východě, veškerý e-mailový a VPN provoz byl přesměrován na internetové adresy ovládané útočníky.

Microsoft byl o zranitelnosti informován 19. května 2020, označil ji jako zranitelnost s nejvyšším rizikem (CVSS: 10.0) a 14. července 2020 vydal záplatu CVE-2020-1350.

Zneužití zranitelnosti na jednom systému může vést k řetězové reakci, která umožní šíření útoků na další zranitelné počítače, aniž by „lavina“ vyžadovala jakoukoli lidskou interakci. Jediný kompromitovaný počítač tak může spustit útok, který se během pár minut rozšíří po celé síti napadené organizace.

Zdroj: Check Point