شناسایی آسیب‌پذیری بحرانی SigRed در ویندوز سرور

کمیته رکن چهارم – یک آسیب‌پذیری بحرانی به نام SigRed حدود هفده سال است که در ویندوز سرور وجود دارد.

یک آسیب‌پذیری بحرانی کرم‌گونه (wormable) در محصول مایکروسافت ویندوز سرور کشف شده که برای مدت هفده سال در این سیستم‌عامل وجود داشته است. این آسیب‌پذیری که در مجموعه به‌روزرسانی‌های ماه جولای مایکروسافت رفع شده، دارای شناسه CVE-۲۰۲۰-۱۳۵۰ و درجه حساسیت بالا CVSS ۱۰ است.

این آسیب‌پذیری مربوط به Windows DNS Server و یک سرویس سیستم نام دامنه در سیستم‌عامل ویندوز است. آسیب‌پذیری با نام SigRed نیز معرفی شده است که به‌دلیل قابلیت کرم‌گونه آن، یک عامل مخرب می‌تواند درون شبکه سازمان، بدون تعامل کاربر، خود را گسترش دهد.

یک مهاجم با سوءاستفاده از این آسیب‌پذیری می‌تواند دستورهای DNS مخرب ایجاد کرده و کد دلخواه اجرا کند که درنهایت منجر به نفوذ به کل زیر ساخت مورد هدف می‌شود.

آسیب‌پذیری CVE-۲۰۲۰-۱۳۵۰ تمامی نسخه‌های ۲۰۰۳ تا ۲۰۱۹ ویندوز سرور را تحت تاثیر قرار می‌دهد.
این آسیب‌پذیری به‌دلیل نحوه تجزیه (parse) یک کوئری DNS ورودی و همینطور کوئری‌های ارسالی در Windows DNS Server بوجود آمده است. به طور خاص، ارسال یک پاسخ DNS با یک رکورد SIG بیش از ۶۴ کیلوبایت می‌تواند منجر به سرریز بافر پشته کنترل شده شود.

در صورتی که یک مهاجم یک کوئری DNS مخرب را فعال کند، باعث ایجاد سرریز بافر مبتنی بر پشته می‌شود، که می‌تواند هکر را قادر به تحت کنترل درآوردن سرور و انجام اقداماتی چون دست‌کاری ایمیل‌ها و ترافیک کاربران، از دسترس خارج کردن سرور، استخراج اطلاعات احرازهویت کاربران و غیره شود.

از آنجایی که این سرویس در سطح دسترسی بالایی اجرا می‌شود، در صورت نفوذ به آن مهاجم می‌تواند سطح دسترسی Domain Administrator را بدست آورد. در سناریوهای حمله محدودی این آسیب‌پذیری را می‌توان از طریق جلسات (session) مرورگر و با دسترسی از راه دور مورد سوءاستفاده قرار داد.

به گفته مایکروسافت آسیب‌پذیری‌های کرم گونه دارای قابلیت گسترش از طریق یک بدافزار بین سیستم‌های آسیب‌پذیر و بدون تعامل کاربران هستند. Windows DNS Server یک ویژگی شبکه اصلی است و به گفته مایکروسافت احتمال بهره‌برداری مهاجمین از این آسیب‌پذیری بسیار بالا است.

این آسیب‌پذیری در به‌روزرسانی‌های ماه جولای مایکروسافت رفع شده است. توصیه می‌شود تا با اعمال وصله‌ها و به‌روزرسانی‌های منتشر شده نسبت به رفع این آسیب‌پذیری در اسرع وقت اقدام شود.

منبع: مرکز مدیریت راهبردی افتا