SecurityWorldMarket

15.07.2020

Kritisk Microsoft-sårbarhet funnet - alle selskaper må patche umiddelbart

Teknologisjef Nils-Ole Gamlem

Check Points forskere har funnet en kritisk sårbarhet i Microsoft Windows DNS, som brukes i ethvert Windows operativsystem. Hackere kan utnytte sårbarheten til å få komplett kontroll over et selskaps IT.

  • Microsoft erkjenner problemet og gir det høyest mulig trusselnivå (CVSS 10.0)
  • Sikkerhetsfeilen er som en orm, slik at én enkelt utnyttelse kan forårsake en kjedereaksjon der angrepene spres fra datamaskin til datamaskin
  • Check Point oppfordrer absolutt alle Windows-brukere til å reparere sårbarheten når Microsofts kommer kommende sin patch tirsdag 14. juli
  • Forskere hos Check Point har identifisert en sikkerhetsfeil i Windows’ DNS (domain name system) som brukes i alle Windows operativsystemer.
  • Sikkerhetsfeilen gjør det mulig for en hacker å bryte seg inn og ta kontroll over hele infrastrukturen i datanettverket til et selskap. Den kritiske sårbarheten, kalt SigRed av Check Point-forskere, påvirker Windows-serverversjoner fra 2003-2019.

DNS, ofte omtalt som internettets telefonkatalog eller adressebok, er en del av den globale internettinfrastrukturen som oversetter de kjente nettstednavnene som vi alle bruker, til tallrekkene datamaskiner trenger for å finne nettstedet, eller sende en e-post. Når du har et domenenavn - for eksempel www.checkpoint.com - kontrollerer du hvilket nummer dette navnet henviser til via en DNS-oppføring. Disse serverne er til stede i alle organisasjoner, og hvis de utnyttes, vil de gi en hacker domeneadministratorrettigheter over serveren. Hackeren kan da stanse og manipulere brukernes e-post og nettverkstrafikk, gjøre tjenester utilgjengelige, hente brukernes legitimasjon og mye mer. I virkeligheten kan hackeren ta full kontroll over selskapet ellers organisasjonens datanettverk.

Ansvarlig avsløring

19. mai 2020 fortalte Check Point Research om funnene sine til Microsoft. Microsoft erkjente sikkerhetsfeilen og vil utstede en oppdatering (CVE-2020-1350) på “Patch Tuesday” (14. juli 2020). Microsoft tilordner sårbarheten med høyest mulig risikoscore (CVSS: 10.0).

Smittsom feil

Microsoft er innstilt på å beskrive sårbarheten som ‘wormable’, noe som betyr at en enkelt utnyttelse kan starte en kjedereaksjon som gjør at angrep kan spres fra sårbar maskin til sårbar maskin uten å kreve noen menneskelig interaksjon. Dette betyr at en enkelt kompromittert maskin kan være en "superspreder", slik at angrepet kan spres over hele organisasjonens nettverk i løpet av få minutter etter den første utnyttelsen.

Patch nå!

Oppdateringen for sårbarheten vil være tilgjengelig 14. juli 2020 og fremover. Check Point oppfordrer sterkt Windows-brukere til å patche de berørte Windows DNS-serverne for å forhindre utnyttelse av dette sikkerhetsproblemet. Check Point mener at sannsynligheten for at denne sårbarheten blir utnyttet er høy, ettersom vi internt fant alle de primitivene som kreves for å utnytte denne feilen, noe som betyr at en dedikert hacker også kunne finne de samme ressursene.

Sitater fra Nils-Ove Gamlem, teknologisjef i Check Point Norge:

- Denne sårbarheten viser nok en gang behovet for å tenke helhetlig og beskytte mer enn bare én komponent. Sikkerhet er som å sikre et hus mot inntrenging og skader. Både dører óg vinduer må sikres, man må hindre brann og vannskader, sperre av trapper for små barn og så videre.

- Check Point oppdaget at sårbarheten kan utnyttes fra Windows DNS Server versjon 2003 og helt frem til i dag. Dette viser hvordan gammel kode med potensielle sårbarheter bringes videre fra versjon til versjon, som er veldig vanlig for de fleste programmer. Dette har vi også sett mange tilfeller av fra open source programvare hvor gamle bibliotek, som ikke har blitt vedlikehold på lang tid, har blitt benyttet i tilsynelatende nye programmer. Problemet omtales ofte som «supply chain» problematikk.

- Vi oppfordrer sterkt til at alle oppdaterer sine servere, men dessverre har vi tidligere sett at dette tar tid. Viktigheten av god tredjeparts sikkerhet er desto større. At din sikkerhetsleverandør er rask med å oppdatere sine signaturer for kjente sårbarheter, samt har tilgang til store mengder metadata for å gjøre maskinlæring (ML / AI) er helt nødvendig.


Leverandører
Tilbake til toppen