Ernstige kwetsbaarheid in Windows DNS Server

Ernstige kwetsbaarheid in Windows DNS Server

Microsoft heeft een update uitgebracht nadat beveiligingsonderzoekers van Check Point een ernstige kwetsbaarheid (CVE-2020-1350) hebben ontdekt in Windows DNS Server met een CVSS Score van 10.0. Vrijwel elke Windows Server is kwetsbaar, ook Windows Server 2016 en 2019.

De kwetsbaarheid is geclassificeerd als "wormable". Dat betekent dat malware/virussen zich snel kunnen verspreiden, zonder interactie van een gebruiker of administrator. Doordat Windows DNS Server met verhoogde rechten draait, kan de aanvaller Domain Administrator rights verkrijgen. Hierdoor kan de gehele infrastructuur besmet raken.

Advies

De kwetsbaarheid is al langere tijd aanwezig, maar het lijkt er op dat deze nog niet is misbruikt. Nu dit naar buiten is gekomen, is het belangrijk dat snel actie wordt ondernomen. Aanvallers kunnen nu namelijk ook starten met het ontwikkelen van scripts die de kwetsbaarheid misbruiken.

Om de kwetsbaarheid op te lossen, raadt Microsoft aan om de laatste Windows Updates uit te voeren. Er zijn ook adviezen om een workaround toe te passen, maar de update is de meest effectieve/betrouwbare manier.

Link naar advies Microsoft: Klik hier

Link naar onderzoek Check Point: Klik hier

Misbruik en aanwezigheid detecteren

Het is geen garantie dat er geen misbruik is gemaakt van de kwetsbaarheid. Dit is wel belangrijk, omdat met Domain Administrator rights veel mogelijk is in de infrastructuur.

De Honeypot en Network Vulnerability Scanner komen hier goed van pas. De Network Vulnerability Scanner alarmeert wanneer kwetsbaarheden in het netwerk zijn gevonden. Als detectie van de kwetsbaarheid nog niet mogelijk is, is de Honeypot daar als vangnet om misbruik te detecteren en schade te beperken.