Os pesquisadores da empresa alertam que um
cibercriminoso pode explorar esta vulnerabilidade para obter direitos de
administração de domínio sobre os servidores e assumir o controle completo
da infraestrutura de TI de uma empresa
Os pesquisadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora global líder em
soluções de cibersegurança, identificaram uma vulnerabilidade crítica no
servidor DNS do Windows. Esta falha de segurança (maior pontuação de risco
possível 10.0 no CVSS) permitiria a um cibercriminoso explorar a
vulnerabilidade para obter direitos de Administrador de Domínio, a fim de obter
o controle completo da TI de uma empresa. Esta vulnerabilidade crítica, à
qual os pesquisadores da divisão Check Point Research (CPR) denominaram como
SigRed, afeta as versões do Windows Server de 2003 a 2019 e pode ser
acionada por uma resposta DNS maliciosa.
O DNS, também conhecido por "o catálogo de
endereços da Internet", é um protocolo de rede para traduzir nomes de host
de computadores em endereços IP. Quando se possui um nome de domínio - por
exemplo, https://www.checkpoint.com -
controla-se o endereço IP a que este nome é correspondido via um ‘DNS record’.
Esses registros DNS são servidores presentes em todas as organizações e, se
explorados, dão ao cibercriminoso direitos de administração de domínio sobre o
servidor, permitindo a ele interceptar e manipular os e-mails dos usuários e o
tráfego de rede, tornar serviços indisponíveis, roubar as credenciais dos
usuários; ou seja, um cibercriminoso pode assumir o controle de toda a
infraestrutura corporativa de TI.
Como funciona esta vulnerabilidade
A vulnerabilidade está na maneira como o
servidor DNS do Windows analisa uma consulta recebida, bem como a
análise da resposta a uma consulta. Em caso de ser mal-intencionado, se
desencadeia um aumento de carga do buffer, permitindo ao
cibercriminoso obter o controle do servidor.
Além disso, a gravidade dessa falha de
segurança foi demonstrada pela Microsoft que a descreveu como
"wormable", o que significa que uma única exploração pode iniciar uma
reação em cadeia que permite que os ataques se espalhem de uma máquina
vulnerável para outra, sem exigir nenhuma interação humana. Como a segurança do
DNS não é algo que muitas organizações monitoram ou que têm controles rígidos,
um único equipamento comprometido pode se tornar um "super
propagador", deixando que o ataque se espalhe pela rede de uma organização
em questões de minutos.
"Uma falha de um servidor DNS é algo muito
sério. Na maioria das vezes, coloca o atacante a uma distância mínima de
controlar toda a organização. Existe um número muito reduzido desses tipos de
vulnerabilidades já lançados. Toda organização, independente do seu porte, que
usa a infraestrutura da Microsoft corre um grande risco de segurança se a falha
não for corrigida. Esta vulnerabilidade está no código da Microsoft há mais de
17 anos, por isso, é possível que outros também possam tê-la encontrado",
explica Omri Herscovici, diretor da equipe Vulnerability Research da Check
Point.
"Nossas pesquisas mostraram que não importa
o quão seguros pensemos que estamos, pois existe um conjunto infinito de
problemas de segurança que não controlamos e que estão à espera de
serem encontrados e explorados. Batizamos esta vulnerabilidade de ‘SigRed’
porque acreditamos que deve ser de prioridade máxima remediar esta situação.
Isto não é mais uma pequena vulnerabilidade encontrada, mas sim uma
oportunidade para a próxima ‘pandemia cibernética’", alerta Herscovici.
Divulgação Responsável
Em 19 de maio de 2020, a Check Point Research
divulgou com responsabilidade suas descobertas à Microsoft. A Microsoft
reconheceu a falha de segurança e emitiu um patch (CVE-2020-1350) em 14 de
julho de 2020. A Microsoft atribuiu a vulnerabilidade com a maior pontuação de
risco possível (CVSS: 10.0). Os especialistas das empresas recomendam que
todos os usuários de Windows atualizem os seus servidores DNS o mais
rapidamente possível para evitar os efeitos desta vulnerabilidade, já que
ameaça de um ataque deste tipo é muito elevada.
Como permanecer protegido
A Check Point lista os três principais
passos a serem seguidos pelas empresas de todo o mundo para manterem-se
protegidas:
• Aplicar o mais rapidamente possível a
atualização de segurança (patch) que a Microsoft disponibilizou em 14 de julho
de 2020.
• Utilizar soluções de segurança para proteger a
infraestrutura de TI corporativa.
• Usar a seguinte solução para bloquear o ataque:
No "CMD" digitar:
reg add
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"
/v "TcpReceivePacketSize" /t REG_DWORD
/d 0xFF00 /f net stop DNS && net start DNS
/d 0xFF00 /f net stop DNS && net start DNS
Check Point Software Technologies Ltd.
https://blog.checkpoint.com/
https://www.twitter.com/checkpointsw
https://www.facebook.com/checkpointsoftware
https://www.youtube.com/user/CPGlobal
https://www.linkedin.com/company/check-point-software-technologies
Nenhum comentário:
Postar um comentário