Logo
Hamburger Menu Icon
Yoroi Background

Vulnerabilità “SIGRed” in Servizi DNS Microsoft

07/15/2020

Proto: N040720.

Con la presente Yoroi desidera informarla riguardo ad una importante vulnerabilità all’interno dei servizi DNS Microsoft Windows, diffusamente utilizzati all’interno di realtà Enterprise e SMB. La criticità è conosciuta con l’alias “SIGRed” e referenziata con l’identificativo CVE-2020-1350.

A causa di lacune nella gestione della memoria durante il processamento di risposte a richieste DNS di tipo SIG, signature resource records parte delle specifiche DNSSEC, un attaccante in grado di richiedere la risoluzione di nomi a dominio gestiti da name server malevoli può eseguire codice arbitrario all’interno dei server di dominio Microsoft abilitati ai servizi di risoluzione DNS. Tale circostanza abilita vari scenari di rischio tra i quali:

  1. Escalation e movimenti laterali verso i server DNS aziendali da parte di client infetti.
  2. Compromissione dei server DNS interni a seguito di navigazione client su siti web malevoli o compromessi con Exploit-Kit.
  3. Violazione del perimetro aziendale qualora i servizi DNS siano configurati per la risoluzione di richieste provenienti dall’esterno (open-resolver).

Il Vendor ha confermato la problematica con un apposito bollettino di sicurezza nel quale sono stati forniti aggiornamenti per i servizi DNS dei sistemi:

  • Windows Server 2008 SP1
  • Windows Server 2008 SP2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server, version 1903 
  • Windows Server, version 1909 
  • Windows Server, version 2004

Per via di diffusione e rilevanza dei servizi afflitti, della loro potenziale esposizione internet, del rilascio di dettagli tecnici relativi alla vulnerabilità ed alla possibilità di sfruttamento anche da browser Internet Explorer e Microsoft Edge, Yoroi consiglia caldamente di pianificare l’applicazione delle patch di sicurezza disponibili, di valutare l’eventuale presenza di servizi DNS in configurazione “open-resolver” e, nel mentre, di forzare la dimensione massima dei pacchetti DNS scambiati tramite il protocollo TCP.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /fnet stop DNS && net start DNS
Tabella. Comandi per applicazione workaround

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram