Vulnerabilidade crítica no Windows Server pode permitir sequestrar a infra-estrutura de rede

Este alerta exige ação imediata. A bruxa parece estar solta hoje! Depois do nosso alerta sobre os problemas com o SAP, um bug crítico que reside há 17 anos dentro do Windows Server foi descoberto agora, e pode deixar totalmente vulneráveis as redes locais das organizações, permitindo que um atacante tome pleno controle da infra-estrutura de TI.

A vulnerabilidade está no serviço de DNS do Windows Server, e afeta as todas as versões de 2003 a 2019. A Microsoft confirmou essa vulnerabilidade e a definiu como crítica, que pode “wormizável”, ou seja, explorada como worm.  Uma vulnerabilidade “wormizável” pode se espalhar sozinha, transportada entre computadores vulneráveis, sem necessidade de interação humana.  Por este motivo recebeu a pontuação segurança CVSS 10.0, a mais alta da classificação internacional.

O Windows DNS Server é um dos principais componentes de redes corporativas, porque um domínio de Microsoft Active Directory (AD) sempre precisa ter servidores autoritativos de DNS para o domínio local. Também é comum que o serviço de DNS server seja usado para atuar como servidor de DNS recursivo para responder requisições dos dispositivos que estão na rede local. Se a falha mencionada for explorada com sucesso, um invasor receberá direitos de administrador de domínio AD, o que pode comprometer toda a infraestrutura corporativa.

A probabilidade de alguém explorar esta vulnerabilidade com sucesso é bastante alta, pois os pré-requisitos e conhecimentos primitivos necessários para atacar são relativamente simples. Por este motivo a probabilidade de ataque é alta.

Dito tudo isso, é essencial que as organizações que usam Windows Server apliquem as atualizações de segurança para solucionar essa vulnerabilidade o mais rápido possível

A Microsoft emitiu um alerta e uma correção de segurança (“patch“) há algumas horas atrás, e as informações específicas e completas, dependendo da versão do sistema operacional Windows Server podem ser obtidas neste link: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350 (em inglês).

Caso não seja possível a atualização imediata dos servidores, recomenda-se imediatamente uma mitigação temporária, mais rápida, por intermédio da edição da chave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters. Para informações sobre a mitigação, consulte este link: https://support.microsoft.com/pt-br/help/4569509/windows-dns-server-remote-code-execution-vulnerability (em português).

Algo bastante interessante a se citar, e que chama a atenção é o fato de que possível atacante fará uso do protocolo DNS sobre HTTPS (DoH) [1] pra explorar a vulnerabilidade, o que é algo bastante recente.

A falha não está presente nos sistemas Microsoft Windows Desktop, nem em outros servidores de DNS de outros sistemas operacionais Linux ou Mac.

Por: Resh Strike team

AGRADECIMENTOS: a THIAGO ALVES SIQUEIRA (Information security specialist – Threat Hunting Team) pelas discussões sobre o assunto.

Referências: [1] DoH: https://en.wikipedia.org/wiki/DNS_over_HTTPS