Разделы

ПО Софт Безопасность Администратору Стратегия безопасности Маркет

Опаснейшая уязвимость 17 лет угрожала пользователям Windows Server. Видео

В ОС Windows Server с самого момента ее появления в 2003 г. содержалась опасная уязвимость, дававшая хакерам полный контроль над сервером под ее управлением. Ее выявили лишь в мае 2020 г., а Microsoft выпустила патч для ее устранения еще через два месяца, в июле 2020 г. Воспользоваться ею сможет даже начинающий хакер – она предельно проста в эксплуатации, что делает ее очень опасной.

Почти совершеннолетняя уязвимость

Серверные операционные системы Windows Server корпорации Microsoft в течение 17 лет содержали очень опасную уязвимость SigRed. Известно о ней стало лишь в мае 2020 г., а патч, устраняющий ее, Microsoft выпустила спустя еще два месяца.

SigRed обнаружили специалисты ИБ-компании Check Point. По их словам, брешь была частью всех версий ОС Windows Server, разработанных Microsoft с 2003 по 2019 гг. включительно.

SigRed может использоваться с целью проведения удаленных атак, притом даже автоматизированных, и не требует предварительной аутентификации в системе. Уязвимости был присвоен идентификатор CVE-2020-1350, и она получила максимальные 10 баллов по шкале оценки CVSSv3. Это означает, что для ее эксплуатации злоумышленнику не нужно обладать углубленными техническими знаниями – она очень проста в использовании.

Как работает SigRed

По данным экспертов Check Point, эксплуатация SigRed осуществляется хакером путем вредоносных DNS-запросов к DNS-серверам Windows. Это дает ему возможность запускать любой нужный ему код и полностью перехватить контроль над этими серверами.

Принцип использования SigRed

В частности, киберпреступник сможет управлять сетевым трафиком, получит доступ к персональным данным пользователей (при их наличии на сервере), и даже будет иметь возможность контролировать электронную почту людей, подключенных к скомпрометированному серверу.

Работа уязвимости основана на общем принципе анализа DNS-сервером Windows всех входящих и обработки переадресованных DNS-запросов. К примеру, отправка запроса длиной свыше 64 КБ может привести к контролируемому переполнению буфера, что и даст хакеру выполнить на сервере нужный ему код.

Специалист Check Point Саги Тцадик (Sagi Tzadik) назвал SigRed черверобразной уязвимостью. Он сообщил, что ее использование на одном сервере может запустить своего рода цепную реакцию, что приведет к распространению атаки от одной скомпрометированной машины к другой без дополнительных действий со стороны хакера.

Как защититься от атаки

На момент публикации материала существовало два действенных способа снижения до нуля вероятности стать жертвой хакера, воспользовавшегося именно уязвимостью CVE-2020-1350. Первый и самый очевидный – это установка патча, закрывающего ее.

Пакет обновлений KB4569509 в настоящее время доступен для скачивания и установки. Он подходит для интеграции в состав всех версий Windows Server, начиная с 2008 Service Pack 1. Устанавливать патч необходимо на сервер, использующийся в качестве DNS-сервиса.

sig600.jpg
Microsoft выпустила патч для устранения SigRed на 17 лет позже, чем было нужно

Второй способ, рекомендованный Check Point, пригодится в качестве экстренной меры, если требуется защитить сервер, но установка патча по тем или иным причинам не представляется возможной. Для этого нужно уменьшить максимальную длину DNS сообщений, что исключить переполнение буфера путем выполнения двух команд (без кавычек):

1. «reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f»

Анна Кабанова, ПСБ: Нас ждет интенсивная гонка финансовых технологий
ИТ в банках

2 net stop DNS && net start DNS.

Добавим, что на момент публикации материала не было зафиксировано ни одного случая взлома Windows-серверов путем эксплуатации SigRed. Однако Microsoft обратилась к Check Point с просьбой о временном удалении из их отчета технической информации об этой бреши, чтобы дополнительно снизить вероятность ее использования, пока большинство копий Windows Server не будут пропатчены.

Другие многолетние уязвимости

В ОС семейства Windows могут существовать и другие уязвимости, которые Microsoft по тем или иным причинам не устраняет годами. К примеру, в январе 2020 г. CNews писал об обнаружении опасной «дыры», затронувшей все без исключения версии Windows. выпущенные за последние 24 года. Впервые она появилась еще в Windows NT 4.0, увидевшей свет в 1996 г.

Уязвимость касается динамической библиотеки crypt32.dll, ответственной за сертификаты и функции обмена зашифрованными сообщениями в CryptoAPI. Microsoft CryptoAPI позволяет разработчикам защищать ПО для Windows с использованием криптографических алгоритмов, а также включает в себя функции шифрования и расшифровки данных с помощью цифровых сертификатов. Критическая уязвимость в этом компоненте Windows может представлять угрозу безопасности для целого ряда важных функций Windows, включая функции аутентификации на персональных компьютерах и серверах под управлением Windows, защиты данных, обрабатываемых браузерами Internet Explorer/Edge, а также некоторыми сторонними приложениями и инструментами.

Не меньшую озабоченность вызывает и то, что уязвимость в библиотеке может использоваться для подмены цифровой подписи, привязанной к конкретному ПО. Этим может воспользоваться злоумышленник, выдав вредоносное ПО за легитимное, выпущенное и подписанное добросовестным разработчиком.

Подобные просчеты разработчиков встречаются не только в Windows. Так, в 2014 г. В Linux и Unix была найдена масштабная многолетняя брешь, относящаяся к командной оболочке Bash. В ней есть переменные окружения, которые можно задавать согласно специальному синтаксису при вызове оболочки. Оболочка запускается и задает значения переменных, прописанные в синтаксисе. Уязвимость заключалась в том, что непосредственно в самом задаваемом значении переменной можно было дописать произвольные команды, которые оболочка также выполнила бы. В случае если Bash была назначена системной оболочкой по умолчанию, она могла быть использована злоумышленниками для проведения сетевых атак на серверы с применением веб-запросов.

Многолетние уязвимости есть и в составе популярных программ. В начале 2019 г. компания Check Point обнаружила серьезную брешь в популярном архиваторе WinRAR, созданном в 1995 г. российским программистом из Челябинска Евгением Рошалом. Багу на тот момент было не менее 14 лет – он появился в программе не позднее 2005 г.

Кирилл Бойко, K2 Cloud: Публичные провайдеры предлагают уровень безопасности, сопоставимый с частными облаками
Облачные тренды

Уязвимость содержалась в библиотеке unacev2.dll, использовавшейся для синтаксического анализа давно устаревшего и редко используемого формата архивов ACE – этот формат был разработан еще в 1990 г. На практике злоумышленник мог подсунуть жертве вредоносный архив ACE, замаскированный под файл RAR. При открытии этого файла WinRAR уязвимость, известная как выход за пределы назначенного каталога, позволяла злоумышленнику разархивировать содержащиеся внутри файлы в произвольный каталог Windows – по выбору злоумышленника.

Исправить эту библиотеку не представлялось возможным, поэтому формат ACE в WinRAR больше не поддерживается.

Эльяс Касми