Anleitung um Sicherheitslücke SIGred in Windows DNS-Servern zu schließen

Die high-severity vulnerability SIGRed wurde von Microsoft anerkannt und als CVE-2020-1350 eingestuft. Diese Einstufung ist als kritisch anzusehen. Eine erfolgreiche Ausnutzung dieser Schwachstelle hätte schwerwiegende Auswirkungen, da Sie oft ungepatchte Windows-Domänenumgebungen, insbesondere Domänencontroller, finden können. Darüber hinaus haben einige Internet Service Provider (ISPs) ihre öffentlichen DNS-Server möglicherweise sogar als WinDNS eingerichtet.
Wir empfehlen Benutzern dringend, ihre betroffenen Windows-DNS-Server zu patchen, um die Ausnutzung dieser Schwachstelle zu verhindern.

Als vorübergehende Abhilfe bis zur Anwendung des Patches empfehlen wir, die maximale Länge einer DNS-Nachricht (über TCP) auf 0xFF00 zu setzen, wodurch die Schwachstelle beseitigt werden sollte. Sie können dies erreichen, indem Sie die folgenden Befehle ausführen:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS

Check Point IPS blade bietet beispielsweise Schutz gegen diese Bedrohung:
“Microsoft Windows DNS Server entfernte Code-Ausführung (CVE-2020-1350)”.
Check Point SandBlast Agent E83.11 schützt bereits vor dieser Bedrohung.

Zeitleiste für die Offenlegung

  1. Mai 2020 – Erster Bericht an Microsoft.
  2. Juni 2020 – Microsoft veröffentlichte CVE-2020-1350 zu dieser Schwachstelle.
    09 Jul 2020 – Microsoft hat dieses Problem als eine wurmbare, kritische Schwachstelle mit einem CVSS-Wert von 10,0 anerkannt.
  3. Jul 2020 – Microsoft hat einen Fix veröffentlicht.

Weiterführende Links:

Ausführliche Anleitung und Aufklärung vom Hersteller Check Point (englisch)

https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/

.