Anleitung um Sicherheitslücke SIGred in Windows DNS-Servern zu schließen
Die high-severity vulnerability SIGRed wurde von Microsoft anerkannt und als CVE-2020-1350 eingestuft. Diese Einstufung ist als kritisch anzusehen. Eine erfolgreiche Ausnutzung dieser Schwachstelle hätte schwerwiegende Auswirkungen, da Sie oft ungepatchte Windows-Domänenumgebungen, insbesondere Domänencontroller, finden können. Darüber hinaus haben einige Internet Service Provider (ISPs) ihre öffentlichen DNS-Server möglicherweise sogar als WinDNS eingerichtet.
Wir empfehlen Benutzern dringend, ihre betroffenen Windows-DNS-Server zu patchen, um die Ausnutzung dieser Schwachstelle zu verhindern.
Als vorübergehende Abhilfe bis zur Anwendung des Patches empfehlen wir, die maximale Länge einer DNS-Nachricht (über TCP) auf 0xFF00 zu setzen, wodurch die Schwachstelle beseitigt werden sollte. Sie können dies erreichen, indem Sie die folgenden Befehle ausführen:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS
Check Point IPS blade bietet beispielsweise Schutz gegen diese Bedrohung:
“Microsoft Windows DNS Server entfernte Code-Ausführung (CVE-2020-1350)”.
Check Point SandBlast Agent E83.11 schützt bereits vor dieser Bedrohung.
Zeitleiste für die Offenlegung
- Mai 2020 – Erster Bericht an Microsoft.
- Juni 2020 – Microsoft veröffentlichte CVE-2020-1350 zu dieser Schwachstelle.
09 Jul 2020 – Microsoft hat dieses Problem als eine wurmbare, kritische Schwachstelle mit einem CVSS-Wert von 10,0 anerkannt. - Jul 2020 – Microsoft hat einen Fix veröffentlicht.
Weiterführende Links:
Ausführliche Anleitung und Aufklärung vom Hersteller Check Point (englisch)