CVE-2020-1350: Gefährliche Schwachstelle im DNS von Windows Server

Microsoft hat einen Patch für eine kritische RCE-Schwachstelle in Windows Server-Systemen veröffentlicht.

Microsoft hat die Schwachstelle CVE-2020-1350 in Windows DNS gemeldet. Zunächst die schlechte Nachricht: Die Schwachstelle erhielt auf der CVSS-Skala die Note 10, d. h., dass es sich um eine gefährliche und kritische Sicherheitslücke handelt. Die gute Nachricht: Cyberkriminelle können sie nur ausnutzen, wenn das System im DNS-Server-Modus läuft. Mit anderen Worten bedeutet das, dass die Anzahl der potenziell anfälligen Computer relativ gering ist. Außerdem hat das Unternehmen bereits Patches und eine Problemumgehung veröffentlicht.

Um was handelt es sich bei der Sicherheitslücke und wie gefährlich ist sie?

Mit CVE-2020-1350 kann ein Cyberkrimineller DNS-Server, die Windows Server verwenden, zur Remote-Ausführung von bösartigen Codes zwingen. Demnach gehört die Schwachstelle zur RCE-Klasse. Um CVE-2020-1350 auszunutzen, muss man nur eine speziell präparierte Anfrage an den DNS-Server senden.

Der Code, der als „LocalSystem“ ausgeführt wird, verfügt somit über umfangreiche Berechtigungen auf dem lokalen Computer und agiert auch im Netzwerk. Darüber hinaus erkennt das Sicherheits-Subsystem LocalSystem nicht. Laut Microsoft besteht die Hauptgefahr der Schwachstelle darin, dass sie dazu verwendet werden kann, eine Bedrohung über das lokale Netzwerk zu verbreiten. Demnach wird CVE-2020-1350 als wurmgefährdete Sicherheitsanfälligkeit eingestuft.

Wer ist von CVE-2020-1350 betroffen?

Alle Versionen von Windows Server sind anfällig, aber nur, wenn sie im DNS-Server-Modus ausgeführt werden. Wenn Ihr Unternehmen keinen DNS-Server hat oder einen DNS-Server verwendet, der auf einem anderen Betriebssystem basiert, brauchen Sie sich keine Sorgen zu machen.

Glücklicherweise wurde die Schwachstelle von der Forschungsgruppe Check Point Research entdeckt, und bisher wurden noch es noch nicht veröffentlicht, wie die Schwachstelle genau ausgenutzt werden kann. Darüber hinaus gibt es derzeit keine Hinweise darauf, dass CVE-2020-1350 von Angreifern ausgenutzt wurde.

Es ist jedoch sehr wahrscheinlich, dass Cyberkriminelle nach Microsofts Patch-Empfehlung schon angreifbare DNS Server und den Patch analysieren, um mögliche Angriffe zu starten. Die Installation des Patches sollte deshalb umgehend erfolgen.

Was jetzt zu tun ist

Wie schon erwähnt, ist das Installieren des Microsoft-Patches der sinnvollste Schritt. Durch den Patch wird die Art und Weise, wie der DNS-Server bearbeitet, verändert. Der Patch ist für Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server Version 1903, Windows Server Version 1909 und Windows Server Version 2004 verfügbar. Sie können den Patch hier herunterladen.

Einige große Unternehmen haben jedoch interne Regeln und eine etablierte Routine für Software-Aktualisierungen, und ihre Systemadministratoren sind möglicherweise nicht in der Lage, den Patch sofort zu installieren. Um zu verhindern, dass DNS-Server in solchen Fällen kompromittiert werden, hat  das Unternehmen auch eine Problemumgehung veröffentlicht. Dazu gehören die folgenden Änderungen der Systemregistrierungsdatenbank:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

Nachdem Sie die Änderungen gespeichert haben, müssen Sie den DNS-Dienst neu starten. Beachten Sie, dass diese Problemumgehung in dem seltenen Fall, dass der Server ein TCP-Paket mit einer Größe von mehr als 65.280 Bytes empfängt, möglicherweise zu einem fehlerhaften Serverbetrieb führen kann. Nach der Installation des Patches empfiehlt Microsoft die Löschung von TcpRecievePacketSize und dessen Werte sowie die Zurücksetzung der Registry in ihren ursprünglichen Zustand.

Wir möchten Sie daran erinnern, dass der DNS-Server, der in Ihrer Infrastruktur läuft, immer noch ein Endpoint-Computer ist, wie jeder andere auch. Diese weisen auch Schwachstellen auf, die Cyberkriminelle auszunutzen versuchen werden. Daher benötigt auch der DNS-Server, wie jeder andere Endpoint im Netzwerk, eine Sicherheitslösung, wie Kaspersky Endpoint Security for Business.

Tipps