Leia o post original aqui.
Imagine o que poderia acontecer se alguém conseguisse interceptar e ler cada um dos seus email sem você saber, antes de encaminhá-los para você: o seu novo cartão bancário, emails do seu médico, formulários de inscrição, entre outros. Não é difícil entender o que uma pessoa conseguiria aprender sobre você, e como ela poderia te prejudicar copiando ou alterando o seu email.
Agora imagine que um hacker poderia fazer o mesmo na rede da sua organização, interceptando e manipulando emails e o tráfego de rede dos usuários, tornando serviços indisponíveis, coletando credenciais, entre outros. De fato, ele seria capaz de ter controle completo da sua TI.
Os pesquisadores da Check Point descobriram recentemente uma vulnerabilidade crítica que permitiria a um atacante fazer exatamente isso a um Windows DNS Server, um componente essencial de qualquer ambiente de rede Windows. Eles reportaram o problema à Microsoft, que o reconheceu como uma vulnerabilidade crítica (com pontuação 10.0 no escore de risco CVSS - o que indica a maior severidade possível) e lançou um patch de atualização urgente. Nós recomendamos fortemente que os usuários apliquem o patch para as versões afetadas do Windows DNS Server, de 2003 a 2019, para prevenir que a vulnerabilidade seja explorada.
Vamos olhar mais de perto o que é o DNS, e porque essa vulnerabilidade recém descoberta é tão crítica.
Abordando o problema
O DNS é parte da infraestrutura global da internet, que traduz os nomes dos sites que todos usamos em strings de números que os computadores precisam para encontrar esses sites, ou para mandar um email. É o "livro de endereços" da internet. Quando você tem um domínio - por exemplo, www.checkpoint.com - você controla para qual número esse endereço é traduzido através de um "registro de DNS".
Mas o que pode acontecer se alguém conseguisse alterar o registro de DNS que a rede da sua organização usa, para mudar o endereço para o qual o nome de um site é traduzido? Isso viraria um alerta crítico de segurança - exatamente como o exemplo anterior, de alguém interceptando e estudando todo o seu email.
Para destacar o quanto um problema de alteração de DNS pode ser perigoso, em 2019 o Departamento de Segurança Nacional dos Estados Unidos emitiu uma diretiva rara determinando que todas as agências federais do país protegessem as credenciais de seus registros de domínio, em resposta a uma campanha internacional de sequestro de DNS ( Domain Name System, ou Sistema de Nomes de Domínio). Os criminosos por trás da campanha foram capazes de roubar emails e outras credenciais de login de entidades governamentais e privadas através do sequestro dos servidores de DNS dos alvos, de modo que todo email e todo o tráfego de VPN era redirecionado para endereços da web controlados pelos atacantes.
Uma falha contagiosa
A vulnerabilidade que a Check Point descobriu expõe todas as organizações usando versões do Windows Server de 2003 a 2019 a exatamente os mesmos riscos: se explorada, daria a um hacker privilégios de Administrador de Domínio no servidor, e comprometeria toda a infraestrutura corporativa.
A falha está na maneira com que o servidor de DNS do Windows analisa uma requisição de DNS ao chegar, e na maneira com que ele analisa uma resposta a uma requisição de DNS encaminhada para ele. Se acionada por uma requisição de DNS maliciosa, acontece um overflow no buffer do heap (o espaço reservado para alocação dinâmica de memória), o que possibilita ao hacker tomar o controle do servidor. A explicação completa está no blog da Check Point (em inglês).
Para adicionar à severidade da falha, a Microsoft a descreveu como "wormable", o que significa que uma única exploração pode desencadear uma reação em cadeia que permitiria que os ataques se espalhassem de uma máquina vulnerável a outra sem precisar de intervenção humana. Como segurança de DNS não é uma coisa que muitas organizações monitoram, ou controlam fortemente, isso significa que uma única máquina comprometida poderia ser um "super espalhador", permitindo que o ataque se espalhe pela rede de uma organização dentro de minutos.
Divulgação e mitigação
A Check Point divulgou os resultados da pesquisa para a Microsoft no dia 19 de Maio, e eles responderam rapidamente, criando a proteção Microsoft Windows DNS Server contra Execução de Código Remoto (CVE-2020-1350). O patch está disponível a partir da terça-feira, 14 de Julho.
Nós recomendamos fortemente que os usuários façam o patch dos servidores de DNS Windows afetados para prevenir a exploração dessa vulnerabilidade. Nós acreditamos que a probabilidade dessa vulnerabilidade ser explorada é alta, já que internamente foram encontradas todas as primitivas necessárias para explorar esse bug, o que significa que um hacker também poderia encontrar os mesmos recursos. Em adição, alguns ISPs (Internet Service Providers, Provedores de Serviço de Internet) podem até ter seus servidores de DNS públicos como WinDSN.
Para o detalhamento completo da investigação da Check Point sobre essa vulnerabilidade, visite o blog em: https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin:-exploiting-a-17-year-old-bug-in-windows-dns-servers/
A blade de IPS da Check Point fornece proteção contra essa ameaça:
“Microsoft Windows DNS Server SIG Record Parsing Buffer Overflow”.
O SandBlast Agent E83.11 da Check Point também protege contra essa ameaça.
Para mais esclarescimentos sobre essa vulnerabilidade, possibilidades de proteção ou demais dúvidas, entre em contato com a Sentinela através do email service@sentinelasecurity.com.br.