A Check Point Research, a área de Threat Intelligence da Check Point® Software Technologies Ltd. acaba de identificar uma vulnerabilidade crítica no servidor DNS de Windows.
Esta falha de segurança (referenciada como CVSS 10.0, a maior pontuação de perigosidade possível) permitiria a um cibercriminoso realizar consultas de DNS maliciosas a um servidor de Windows, e poder efetuar uma execução de código que poderia dar o controlo total sobre a infraestrutura de TI de uma empresa. Esta vulnerabilidade crítica, à qual os investigadores da Check Point denominaram como SigRed, afeta as versões dos servidores de Windows de 2003 a 2019.
O DNS, também conhecido por “lista telefónica da internet”, faz parte da infraestrutura global da internet e traduz o nomes familiares dos websites que todos os utilizadores utilizam, em linhas de código que os computadores necessitam para conseguir encontrar o website, ou enviar um e-mail. Quando se possui um nome de domínio – por exemplo, www.checkpoint.com – controla-se o número a que este nome é respondido via um ‘DNS record’. Estes servidores existem em todas as organizações, e se explorados, dão ao hacker direitos de administração de domínio sobre o servidor, permitindo ao hacker intercetar e manipular os emails dos utilizadores e o tráfego de rede, tornar serviços indisponíveis, roubar as credenciais dos utilizadores, ou seja um cibercriminoso pode obter total controlo de toda a infraestrutura de TI de uma organização.
Como funciona esta vulnerabilidade?
A vulnerabilidade reside na forma como o servidor DNS de Windows analiza a consulta efetuada, bem como a análise da resposta a uma consulta. Em caso de ser maliciosa, desencadeia um aumento de carga do bufer, que permite ao cibercriminoso ganar controlo do servidor.
Por outra parte, a gravidade desta falha de segurança fica demonstrada pela Microsoft descrever como ‘wormable’, o que significa que uma só exploração pode desencadear a propagação de ataques sem necessidade de nenhuma interação humana. Como a segurança do DNS não é algo que muitas organizações monitorizem ou que tenham controlo estreito, um única equipamento pode tornar-se num “super propagador”, permitindo que o ataque se estenda através da rede de uma organização em pouco minutos.
“Uma falha de um servidor de DNS é algo muito sério. A maioria das vezes, coloca o atacante à distância mínima de controlar toda a organização. Existe um número muito reduzido de tipos de vulnerabilidades deste tipo que foram descobertas. Cada organização, seja qual for a sua dimensão, se utilizar uma infraestrutura Microsoft encontra-se sobre um risco de segurança elevado, caso não aja de imediato, pois pode estar a deixar a descoberto toda a rede corporativa. Esta vulnerabilidade encontra-se no código da Microsoft há já 17 anos, por isso, se nós a encontramos, é possível de assumirmos que outros também já possam ter encontrado.” assinala Omri Herscovici, Vulnerability Research Team Leader na Check Point. “As nossas diversas investigações mostram-nos que não importa o quão seguros pensemos que estamos, pois existe um conjunto infinito de problemas de segurança que não controlamos e que se enocntram à espera de ser encontrados e explorados. Batizamos esta vulnerabilidade de “SigRed”, pois acreditamos que deve ser the prioridade máxima remediar esta situação. Isto não é mais uma pequena vulnerabilidade encontrada, mas sim uma oportunidade para a próxima pandemia cibernética”
Como proteger-se face a esta falha de segurança?
No pasado dia 19 de maio de 2020, a Check Point revelou responsavelmente a sua descoberta à Microsoft, que reconheceu a falha de segurança e publicou uma atualização de segurança (CVE-2020-1350). Os especialistas da empresa de cobersegurança recomendam que todos os utilizadores de Widnows atualizem os seus servidores DNS urgentemente para evitar os efeitos desta vulnerabilidade, já que ameaça de um ataque deste tipo é muito elevada.
A Check Point explica quais os 3 passos chave que as empresas de todo o mundo devem efeutar para estarem protegidos face a esta vulnerabilidade:
- Aplicar a atualização de segurança que a Microsoft tornou pública
- Utilizar soluções de segurança para proteger a infraestructura TI corporativa
- Usar a seguinte solução para bloquear o ataque: O tipo “CMD”: reg agregue “HKEY_LOCAL_MACHINE\SYSTEM\N-CurrentControlSet\N-Services\NDNS\N-Parámetros”/v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS
Comentários