Groźna luka w zabezpieczeniach Windows Server. Microsoft udostępnia łatkę

Przeczytaj także: Kaspersky wykrywa w systemie Windows lukę dnia zerowego

Jak wynika z analizy badaczy firmy Check Point krytyczna luka umożliwia cyberprzestępcom tworzenie złośliwych zapytań DNS do serwerów systemu Windows, a także uruchomienie dowolnego kodu (abitrary code execution). Na skutek tego może dojść do naruszenia całej infrastruktury informatycznej organizacji. SigRed, bo tak nazwano to zagrożenie, dotyczy systemów Windows z lat 2003-2019.

Jak przypomina Check Point, DNS, o którym mówi się, że jest „książką telefoniczną Internetu”, to element składowy globalnej infrastruktury internetowej, która tłumaczy znane nazwy stron internetowych na ciągi liczb, niezbędne dla komputerów, aby znaleźć tę stronę lub wysłać wiadomość e-mail.

Serwery DNS są obecne w każdej organizacji, a jeśli zostaną wykorzystane przez cyberprzestępcę, pozwalają nadać prawa administratora domeny za pośrednictwem serwera, umożliwiając atakującemu przechwytywanie oraz manipulowanie wiadomościami e-mail czy ruchem sieciowym. Pozwala to m.in. na zablokowanie dostępu do usług oraz zbieranie poświadczeń użytkowników. W efekcie haker może przejąć całkowitą kontrolę nad działem IT firmy.

Podatność najwyższego ryzyka

Check Point Research już 19 maja poinformował o swoich odkryciach firmę Microsoft, która przygotowała odpowiednią łątkę nazwaną Patch Tuesday (opublikowaną 14 lipca). Microsoft przypisał podatności najwyższy możliwy wskaźnik ryzyka (CVSS:10.0), stąd koniecznym jest jak najszybsza aktualizacja systemów.

Co więcej, luka została opisana jako „robakowa”, co oznacza, że pojedynczy exploit może uruchomić reakcję łańcuchową, która pozwala na rozprzestrzenianie się ataków z podatnej maszyny na kolejną podatną maszynę bez konieczności interakcji ze strony człowieka. Oznacza to, że pojedyncza zainfekowana maszyna może stać się „super-rozprzestrzeniaczem”, umożliwiającym dalsze rozprzestrzenienie się ataku w sieciach organizacji w ciągu kilku minut od pierwszego jej wykorzystania.

- Naruszenie serwera DNS jest sprawą bardzo poważną. W większości przypadków atakujący znajduje się zaledwie jeden krok od naruszenia całej organizacji. Istnieje jedynie kilka takich typów luk w zabezpieczeniach, które kiedykolwiek wykryto. Każda organizacja korzystająca z infrastruktury Microsoft, jest poważnie zagrożona, jeśli nie zdecyduje się na załatanie podatności. Ryzyko wiąże się bowiem z możliwością całkowitego naruszenia całej sieci korporacyjnej. Luka ta występuje w kodzie Microsoft od ponad 17 lat, więc skoro my ją wykryliśmy, istnieje możliwość, że ktoś inny dokonał tego wcześniej - przyznaje Omri Herscovici, szef działu wykrywania podatności w Check Point.