[English]ACROS Security hat einen Micropatch für die kritische und per Wurm ausnutzbare Schwachstelle SIGRed (CVE-2020-1350) für nicht per ESU geschützte Windows Server 2008 R2 freigegeben. Diese Schwachstelle erlaubt eine Remotecodeausführung in Windows-Domänennamenssystem-Servern.
Anzeige
Die kritische Schwachstelle CVE-2020-1350
CVE-2020-1350 ist eine kritische Schwachstelle, die Sicherheitsforscher von Check Point Software Technologies entdeckt haben. Die SIGRed genannte Schwachstelle ist seit 17 Jahre unentdeckt geblieben und hat einen CVSS-Basiswert von 10,0 erhalten. Die Schwachstelle befindet sich im Windows DNS-Server und ermöglicht Angreifern eine Remotecodeausführung in Windows-Domänennamenssystem-Servern.
Die Schwachstelle basiert auf dem Bug, dass DNS-Anfragen Anfragen nicht ordnungsgemäß verarbeitet werden. Zu lange, bösartige DNS-Anfragen können daher für Remote-Angriffe missbraucht werden. Da der betreffende Dienst mit erhöhten Privilegien (SYSTEM) ausgeführt wird, erhält ein Angreifer bei erfolgreicher Ausnutzung die Rechte eines Domänenadministrators. Dadurch wird die gesamte Unternehmensinfrastruktur effektiv gefährdet.
Das Ganze ist wurmfähig und als "Windows DNS Server Remote Code Execution Vulnerability" bekannt. Die Schwachstelle im Windows DNS-Server betrifft die Windows Server-Versionen 2003 bis 2019. Microsoft hat der Beseitigung der SIGRed genannten Schwachstelle höchste Priorität eingeräumt. Microsoft hat diese Kurzmitteilung zur Schwachstelle veröffentlicht und führt Details im Beitrag zu CVE-2020-1350 aus. Dort werden die kritischen Updates für Windows Server 2008 SP2 bis hin zu Windows Server Version 2004 (Server Core-Installation) aufgelistet. Der Bug wird mit den regulären Updates für Windows zum Patchday 14. Juli 2020 beseitigt.
Ich hatte im Blog-Beitrag Kritisches Update für SigRed Bug im Windows DNS Server berichtet. Zudem warnt die US CISA vor der Schwachstelle und fordert US-Behörden auf, diese binnen 24 Stunden zu schließen (siehe CISA warnt Admins: SIGRed Windows DNS Server patchen).
Anzeige
Windows Server 2008 R2-Systeme, die aber keine ESU-Lizenz besitzen, bekommen das Update aber nicht. Microsoft hat den Erwerb einer solchen Lizenz aber recht aufwändig gestaltet und gibt diese nur an Volumenlizenzkunden heraus. Hier springt ACROS Security mit seinem 0patch-Micropatch ein.
0patch-Fix für Windows Server 2008 R2
ACROS Security hat einen Micropatch für die Schwachstelle CVE-2020-1350 entwickelt. Mitja Kolsek von ACROS Security hat mich privat darüber informiert, dass der Micropatch für Windows Server 2008 R2 veröffentlicht wurde. Es gibt jetzt auch eine Nachricht auf Twitter.
The first micropatch instance is aimed at Windows Server 2008 R2 without Extended Security Updates, for which Microsoft's official fix is not available. Please email sales@0patch.com for porting the micropatch to any supported or unsupported Windows Server version.
— 0patch (@0patch) July 17, 2020
In diesem Blog-Beitrag beschreibt Mitja Kolsek einige Details. So gibt er an, dass einige 0patch-Kunden noch Systeme mit Windows Server 2008 (und R2) im Einsatz haben, aber keine ESU-Lizenz erworben haben. Diese Kunden schützen die Systeme mit den 0patch Micropatches.
Die erste Version des 0patch Micropatches adressiert Windows Server 2008 R2 ohne erweiterte ESU-Lizenz, die keine Sicherheitsupdates mehr bekommen. Die Macher planen als nächstes eine Portierung auf Windows Server 2003 für Benutzer, die aus verschiedenen Gründen immer noch diesen nicht unterstützten Server verwenden.
Der ACROS Security Micropatch für die Schwachstelle CVE-2020-1350 erkennt nicht nur einen Integer-Überlauf an den betreffenden Codestellen. Der Micropatch protokolliert auch einen solchen Exploit-Versuch, so dass Administratoren wissen, dass ihr Server von einem Exploit betroffen war.
A video of CVE-2020-1350 micropatch in action: https://t.co/0XPL0bL3Vr pic.twitter.com/reVMy9ktHf
— 0patch (@0patch) July 17, 2020
Obiger Tweet enthält ein Video, welches den opatch Micropatch in Aktion zeigt. Kunden von AGROS Security, die den 0patch Agent mit PRO-Lizenz auf ihrem Windows Server 2008 R2-Computer installiert haben, sollten den Micropatch bereits erhalten haben. Der 0patch-Agent hat diesen heruntergeladen und auf den DNS-Server angewendet.
Wer keine PRO-Lizenz für den Windows Server 2008 R2 besitzt kann ein Konto in 0patch Central erstellen und dann eine PRO-Lizenz kaufen oder oder eine Testversion unter sales@0patch.com anfordern. Dann ist der 0patch-Agent zu installieren und mit dem erstellten Konto zu registrieren. Dann zieht der 0patch-Agent die dem Konto zugewiesenen Micropatches und wendet diese an. Beachten Sie, dass für die Installation des Agenten oder das Anwenden/Entfernen eines 0patch-Mikropatches kein Neustart des Computers erforderlich ist. Hinweise zur Funktionsweise des 0patch-Agenten, der die Mikro-Patches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (z.B. hier), die ich unten verlinkt habe.
Obwohl es kostenlose offizielle Updates für alle unterstützten Windows-Server gibt, kann es sein, dass Admins diese nicht sofort anwenden oder den Computer nicht neu starten können; für solche Fälle können Anfragen zur Portierung unseres Micropatch auf bestimmte Versionen von dns.exe, die auf betroffenen Computern laufen, an sales@0patch.com gesendet werden.
Ähnliche Artikel:
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
Kritisches Update für SigRed Bug im Windows DNS Server
CISA warnt Admins: SIGRed Windows DNS Server patchen
Anzeige