Windows DNS Server Remote Code Execution Vulnerability (CVE-2020-1350): Was Sie wissen sollten

Am 14. Juli 2020 hat Microsoft einen Patch für eine 17 Jahre alte Remote Code Execution (RCE) Schwachstelle in Windows Domain Name System (DNS) Server bereitgestellt. Die Schwachstelle wurde von Checkpoint Forschern entdeckt und unter der CVE-2020-1350 veröffentlicht. snapSEC empfiehlt allen Unternehmen, welche Microsoft DNS Server einsetzen, den Patch dringend einzuspielen. Ab Microsoft DNS Server 2003 sind alle Systeme betroffen. Weiter sollte als Vorbeugung der folgende Registry Eintrag auf allen DNS Server gesetzt werden: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

Die Windows DNS Server RCE Schwachstelle wird als SEVERITY 10 BUG behandelt.

BUT WHY? Dazu lohnt sich Blick in die erweiterte Analyse von Checkpoint. Da nämlich der Windows DNS Dienst mit SYSTEM-Privilegien läuft, kann eine erfolgreiche Ausnutzung der Schwachstelle Domänen-Admin Rechte verschaffen. Denn im Regelfall wird der DNS Dienst am Domänen-Controller mit-installiert. Und mit Domänen-Administrator-Rechte lässt sich die gesamte Unternehmensinfrastruktur übernehmen. Sieht man sich auf GitHub um, können schon die ersten PoC-Exploits gefunden werden. Aus diesem Grund, sollten die vorher beschriebene Maßnahmen dringend ergriffen werden. Der unangenehme Beigeschmack an der Geschichte ist, dass diese Schwachstelle bereits seit 17 Jahren besteht. Diese Schwachstelle zeigt, warum neue Cyber-Resilienz Ansätze hermüssen. Wenn Sie dazu mehr erfahren möchten, sprechen Sie uns gerne an oder besuchen Sie die Rubrik Cyber-Resilienz auf unserer Webseite.