«

»

Lug 24

SIGRed : grave vulnerabilità sui DNS server Windows

ATTENZIONE ! : se in azienda usate il servizio DNS su server Windows (è normale per esempio averlo sui Controller di dominio) sappiate che i ricercatori di Checkpoint hanno appena scoperto una grave vulnerabilità sfruttabile anche da remoto che permette di prendere il completo controllo della macchina server, inoltre il codice ostile è in grado di propagarsi automaticamente all’interno della rete attaccando altre macchine Windows che facciano girare il servizio di DNS server.

 

La vulnerabilità è particolarmente pericolosa e prende il nome di SIGRed, in pratica attacca il servizio DNS server delle macchine Windows ed interrogando il servizio con richieste malformate permette di eseguire codice ostile sulla macchina che normalmente è un server, mettendo quindi potenzialmente a rischio l’intera rete aziendale, pensate solo al servizio DNS che è gira sempre sulle macchine Controller di dominio della rete !

Per fortuna Microsoft ha già rilasciato le patch necessarie per turare questa falla con gli aggiornamenti di sicurezza di Windowsupdate di Luglio, purtroppo però questo problema affligge anche le versioni server fuori supporto (Windows server 2003, 2008, 2008R2), quindi se avete in azienda ancora vecchi servers (che vi consiglio di aggiornare) che hanno attivo il servizio DNS server e volete rimediare alla vulnerabilità rappresentata da SIGRed dovete fare una piccola modifica al registry e quindi riavviare il servizio DNS sul vostro server o riavviare l’intera macchina.

 

Gli step per rimediare sono :

  • lanciate l’editor del registry come amministratore
    start -> esegui -> regedit
  • posizionatevi sulla chiave :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  • qui troverete il parametro :
    TcpReceivePacketSize
  • che ha un valore di default (in esadecimale) di :
    0xFFFF
  • modificatelo in :
    0xFF00
  • chiudete il programma regedit
  • aprite un prompt dei comandi come amministratore
    start -> esegui -> cmd
  • riavviate il servizio DNS server con i comandi :
    NET STOP DNS
    NET START DNS
  • oppure riavviate completamente la vostra macchina server

 

Questo è sufficiente per scongiurare questo problema anche su un vecchio server fuori supporto tecnico da parte di Microsoft, anche se ovviamente sarebbe meglio procedere con la migrazione ad una nuova versione supportata ufficialmente per continuare a ricevere le varie patch di sicurezza rilasciate da Microsoft.

 

Per maggiori informazioni sulla vulnerabilità SIGRed potete leggere l’articolo tecnico di Checkpoint :

https://blog.checkpoint.com/2020/07/14/sigred-this-is-not-just-another-vulnerability-patch-now-to-stop-the-next-cyber-pandemic/

e la nota tecnica del bug oltre alle informazioni per la soluzione temporanea rilasciate da Microsoft :

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability

 

NOTA : non sottovalutate questo bug di Windows server perchè potrebbe mettere in ginocchio la vostra rete aziendale, applicate subito le patch ufficiali o la soluzione temporanea con la modifica al registry !

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

code