17-letna podatność CVE-2020-1350 w usłudze Windows DNS zagraża Twojej organizacji

„DNS (Domain Name System) to usługa odpowiedzialna za przypisywanie adresów IP nazwom internetowym (domenom) czytelnym dla człowieka. Każda strona WWW posiada swój „identyfikator”, czyli wspomniany adres IP. Adresy te można poznać poprzez wyszukanie strony np. w bazie GWhois lub za pomocą polecenia PING. Jest to o tyle dobrze przemyślane, że dzięki usługom DNS nie musimy pamiętać adresu IP każdej strony, z którą zamierzamy się połączyć” — piszemy we wstępie do poradnika pt. „Polecane serwery DNS — które z nich są najszybsze i najlepiej chronią użytkownika?”.

DNS często jest określany jako „książka telefoniczna Internetu”, ponieważ jest protokołem sieciowym służącym do tłumaczenia przyjaznych dla człowieka nazw komputerów na adresy IP. Jedną z implementacji protokołu jest usługa „Windows DNS Server” używana w środowiskach firmowych w systemach Windows Server. Badacze z Check Point opisują 17-letnią podatność CVE-2020-1350 właśnie w usłudze Windows DNS, która otrzymała najwyższy możliwy wskaźnik powagi zagrożenia (10/10 CVSS).

Krytyczna luka dotyczy systemów Windows Server od wersji 2003 aż do 2019 i może skutkować uzyskaniem przez atakującego najwyższych uprawnień Local SYSTEM, jeżeli uda się uzyskać odpowiedź od serwera DNS w organizacji. W przypadku kiedy podatność zostanie skutecznie wykorzystana to osoba atakująca otrzyma uprawnienia administratora domeny, co skutecznie zagrozi całej infrastrukturze korporacyjnej.

Eksperci z Check Point wyjaśniają, że większość opublikowanych i publicznie dostępnych exploitów koncentruje się na implementacji protokołów SMB (EternalBlue) i RDP (BlueKeep), ponieważ te exploity zagrażają zarówno, serwerom jak i punktom końcowym, dlatego są tak często używane przez hakerów. W tym przypadku podatność jest jeszcze poważniejsza niż ataki związane z ransomware WannaCry i NotPetya, które rozprzestrzeniały się po całej Europie.