Błąd CVE-2020-1350 – znany również pod nazwą SIGRed – pozwala na zdalne wykonywanie kodu. Atakujący może uzyskać uprawnienia administratora domeny na zaatakowanych maszynach i następnie przejąć pełną kontrolę nad infrastrukturą IT organizacji. Pozostawiając lukę niezałataną administrator ryzykuje więc całkowite naruszenie firmowej sieci. Błąd jest bardzo poważny. Otrzymał 10 punktów w skali CVSS – czyli maksymalną ich ilość.
Jak przebiega atak SIGRed? Atakujący przesyła spreparowane zapytanie do serwera DNS – z powodu podatności jest w stanie wykonywać dowolny kod na zagrożonych (podatnych) serwerach. Co dzieje się dalej? Hacker jest w stanie przechwytywać oraz manipulować wiadomościami e-mail użytkowników domeny, odciąć ich od usług, manipulować ruchem sieciowym, zbierać dane uwierzytelniające użytkowników – to już bardzo dużo, a tymczasem jest to jedynie przysłowiowy „wierzchołek góry lodowej”.
Podatność SIGRed pozwala na prowadzenie ataku podobnego do infekcji cyber robakami. Atakujący może przenosić się z urządzenia na urządzenie – bez jakiejkolwiek interakcji ze strony użytkownika. Oznacza to, że hacker potrzebuje tak naprawdę jednej podatnej maszyny, aby rozprzestrzenić się po całej sieci.
Załatany problem… Oczywiście, o ile tylko administrator zainstalował poprawki które wyszły w ramach July Patch Tuesday. Oprócz rozwiązania problemu SigReg, paczka zawiera jeszcze 122 inne łatki, z czego 18 zostało uznane za krytyczne. Microsoft nie natrafił na dowody wskazujące na to, że bug został już w jakiś sposób wykorzystany przez przestępców. Podatność ma jednak 17 lat – trudno więc stwierdzić z całkowitą pewnością, że nie była już wykorzystywana w przeszłości. Specjaliści doradzają aby jak najszybciej wgrać stosowne aktualizacje – pamiętajmy, że mówimy o podatności, która zagraża DNS, czyli bardzo newralgicznemu elementowi infrastruktury IT.
