Este alerta exige ação imediata. A bruxa parece estar solta hoje! Depois do nosso alerta sobre os problemas com o SAP, um bug crítico que reside há 17 anos dentro do Windows Server foi descoberto agora, e pode deixar totalmente vulneráveis as redes locais das organizações, permitindo que um atacante tome pleno controle da infraestrutura de TI.
A vulnerabilidade está no serviço de DNS do Windows Server, e afeta as todas as versões de 2003 a 2019. A Microsoft confirmou essa vulnerabilidade e a definiu como crítica, que pode “wormizável”, ou seja, explorada como worm. Uma vulnerabilidade “wormizável” pode se espalhar sozinha, transportada entre computadores vulneráveis, sem necessidade de interação humana. Por este motivo recebeu a pontuação segurança CVSS 10.0, a mais alta da classificação internacional.
O Windows DNS Server é um dos principais componentes de redes corporativas, porque um domínio de Microsoft Active Directory (AD) sempre precisa ter servidores autoritativos de DNS para o domínio local. Também é comum que o serviço de DNS server atue como servidor de DNS recursivo, respondendo às requisições dos dispositivos na rede local. Portanto, se alguém explorar a falha mencionada com sucesso, ele receberá direitos de administrador de domínio AD, o que pode comprometer toda a infraestrutura corporativa.
A probabilidade de alguém explorar esta vulnerabilidade com sucesso é bastante alta, pois os pré-requisitos e conhecimentos primitivos necessários para atacar são relativamente simples. Por isso, a probabilidade de ataque é alta.
Todavia, é essencial que as organizações que usam Windows Server apliquem as atualizações de segurança para solucionar essa vulnerabilidade o mais rápido possível.
Correção no Windows Server
A Microsoft emitiu um alerta e uma correção de segurança (“patch“) há algumas horas atrás, e as informações específicas e completas, dependendo da versão do sistema operacional Windows Server podem ser obtidas neste link: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350 (em inglês).
Caso não seja possível a atualização imediata dos servidores, recomenda-se imediatamente uma mitigação temporária, mais rápida, por intermédio da edição da chave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters. Para informações sobre a mitigação, consulte este link: https://support.microsoft.com/pt-br/help/4569509/windows-dns-server-remote-code-execution-vulnerability (em português).
Algo bastante interessante a se citar, e que chama a atenção é o fato de que possível atacante fará uso do protocolo DNS sobre HTTPS (DoH) [1] pra explorar a vulnerabilidade, ou seja, algo bastante recente.
Em suma, a falha não está presente nos sistemas Microsoft Windows Desktop, nem em outros servidores de DNS de outros sistemas operacionais Linux ou Mac.
Por: Resh Strike team
AGRADECIMENTOS: a THIAGO ALVES SIQUEIRA (Information security specialist – Threat Hunting Team) pelas discussões sobre o assunto.
—
Referências: [1] DoH: https://en.wikipedia.org/wiki/DNS_over_HTTPS
