Uma vulnerabilidade crítica no servidor DNS do Windows pode permitir que cibercriminosos a explorem para obter direitos de administrador de domínio sobre servidores, a fim de obter o controle completo da TI de uma empresa. Esta vulnerabilidade crítica, a qual pesquisadores da divisão Check Point Research batizaram de SigRed, afeta as versões do Windows Server de 2003 a 2019 e pode ser acionada por uma resposta DNS maliciosa.
A falha de segurança recebeu a maior pontuação de risco possível, 10.0, no CVSS (Common Vulnerability Scoring System, ou sistema de pontuação comum de vulnerabilidades).
O DNS, também conhecido por “catálogo de endereços da internet”, é um protocolo de rede para traduzir nomes de host de computadores em endereços IP. O nome de domínio controla o número a que este endereço é respondido via um ‘DNS record’. Esses registros DNS são servidores presentes em todas as organizações e, se explorados, dão ao cibercriminoso direitos de administração de domínio sobre o servidor, permitindo a ele interceptar e manipular e-mails de usuários e o tráfego de rede, tornar serviços indisponíveis, roubar credenciais de usuários, ou seja, o criminoso cibernético pode assumir o controle de toda a infraestrutura corporativa de TI.
Como funciona a vulnerabilidade
A vulnerabilidade está na maneira como o servidor DNS do Windows analisa uma consulta recebida, bem como a análise da resposta a uma consulta. Em caso de ser mal-intencionado, se desencadeia um aumento de carga do buffer (região de memória física utilizada para armazenar temporariamente os dados) permitindo ao cibercriminoso obter o controle do servidor.
Veja isso
Código do GhostDNS mira clientes de 11 bancos no Brasil
Governos perdem milhões com ataques de DNS a cada ano
Além disso, a gravidade dessa falha de segurança foi demonstrada pela Microsoft que a descreveu como “wormable”, o que significa que uma única exploração pode iniciar uma reação em cadeia que permite que os ataques se espalhem de uma máquina vulnerável para outra, sem exigir nenhuma interação humana.
Como a segurança do DNS não é algo que muitas organizações monitoram ou que têm controles rígidos, um único equipamento comprometido pode se tornar um “superpropagador”, deixando que o ataque se espalhe pela rede de uma organização em questões de minutos.
“Uma falha de um servidor DNS é algo muito sério. Na maioria das vezes, coloca o atacante a uma distância mínima de controlar toda a organização. Existe um número muito reduzido desses tipos de vulnerabilidades já lançados. Toda organização, independente do seu porte, que usa a infraestrutura da Microsoft corre um grande risco de segurança se a falha não for corrigida. Esta vulnerabilidade está no código da Microsoft há mais de 17 anos, por isso, é possível que outros também possam tê-la encontrado”, explica Omri Herscovici, diretor da equipe Vulnerability Research na Check Point.
“Nossas pesquisas mostraram que não importa o quão seguros pensemos que estamos, pois existe um conjunto infinito de problemas de segurança que não controlamos e que estão à espera de serem encontrados e explorados. Batizamos esta vulnerabilidade de ‘SigRed’ porque acreditamos que deve ser de prioridade máxima remediar esta situação. Isto não é mais uma pequena vulnerabilidade encontrada, mas sim uma oportunidade para a próxima ‘pandemia cibernética’”, alerta Herscovici.
Divulgação responsável
Em 19 de maio de 2020, a Check Point Research divulgou com responsabilidade suas descobertas à Microsoft. A fabricante de software reconheceu a falha de segurança e emitiu um patch (CVE-2020-1350) em 14 de julho. Ela atribuiu a vulnerabilidade com a maior pontuação de risco possível (CVSS: 10.0). Os especialistas das empresas recomendam que todos os usuários de Windows atualizem os seus servidores DNS o mais rapidamente possível para evitar os efeitos desta vulnerabilidade, já que ameaça de um ataque deste tipo é muito elevada.
A Check Point lista os três principais passos a serem seguidos pelas empresas de todo o mundo para manterem-se protegidas:
- Aplicar o mais rapidamente possível a atualização de segurança (patch) que a Microsoft disponibilizou em 14 de julho de 2020.
- Utilizar soluções de segurança para proteger a infraestrutura de TI corporativa;
- Usar a seguinte solução para bloquear o ataque: No “CMD” digitar:
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters”/v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS
