Beheer

Security
Windows Server 2008

Microsoft trekt grens voor DNS-patch Windows Server

Sommige Windows-versies zijn meer gelijk dan andere, ongeacht supportgeldigheid.

15 juli 2020

Sommige Windows-versies zijn meer gelijk dan andere, ongeacht supportgeldigheid.

Microsoft heeft opnieuw een uitzondering gemaakt op zijn eigen beleid voor ondersteuning van oudere besturingssystemen. Ditmaal trekt de softwaremaker echter wel een grens tussen Windows-versies: de ene, officieel niet meer ondersteunde release krijgt nu wel patches, de andere niet. De securityzaak is de kritieke kwetsbaarheid in DNS-software in Windows Server, vanaf 2003.

De door Check Point ontdekte kritieke kwetsbaarheid in Microsofts DNS-implementatie heeft dinsdagavond (14 juli) patches gekregen voor een reeks kwetsbare versies van Windows Server. Het gaat hierbij om de ingebouwde DNS-serversoftware; de clientuitvoering in Windows 10 en in oudere versies is niet vatbaar. Twee zaken vallen op bij de updates die Microsoft uitbrengt voor de serveruitvoering van zijn besturingssysteem: een niet-ondersteunde versie krijgt patches, en een niet-ondersteunde versie krijgt géén patches.

Allerhoogste kwetsbaarheidsscore

Windows Server 2008 krijgt nu wel updates voor het kritieke beveiligingsgat, wat de allerhoogste CVSS-score (van 10,0) krijgt. Maar voorganger Windows Server 2003 krijgt nu geen patches voor de kwetsbaarheid (SigRed) die volgens Check Point en Microsoft zeer gevaarlijk is omdat het 'wormbaar' is. Dat betekent dat malware die misbruik maakt van dit gat zich volautomatisch kan vermenigvuldigen en dan verder verspreiden.

De vrees voor een volgende WannaCry/Petya/NotPetya leeft dan ook. Die beruchte malware hebben wereldwijd toegeslagen en veel bedrijven schade berokkend. Securitybedrijf Check Point, dat het ontdekte gat in mei heeft gemeld bij Microsoft, acht het zeker mogelijk dat kwaadwillenden de SigRed-kwetsbaarheid als digitaal wapen gaan inzetten.

Wachten op exploitcode

"Microsoft en wij menen dat de kwetsbaarheid zeer kritiek is en dat het gebruikt kan worden in wormable scenario's", antwoordt Check Point op vragen van AG Connect. "Zodra een publieke exploit wordt uitgebracht, is er een goede kans wordt ge-weaponized door kwaadwillendend." Hoewel er op internet nu al claims zijn opgedoken dat er werkende proof-of-concept code (PoC) voor SigRed is, lijkt dit paniekzaaierij - of zelfs malwaredistributie - te zijn.

Toch is het een kwestie van tijd voordat echte exploitcode er is, meent ook Check Point. "Wij schatten dat een vastberaden aanvaller deze bug kan benutten voor een volledige exploit, maar het zal zeker enkele dagen tot enkele weken in beslag nemen", aldus de reactie aan AG Connect. De PoC-claims die Check Point tot op heden heeft gezien, zijn volledig nep en proberen aan te haken op deze beveiligingskwestie soms ook om gebruikers juist malware te laten installeren.

De onderzoekers van Check Point hebben intern alle 'benodigheden' in kaart gebracht die vereist zijn om misbruik van SigRed mogelijk te maken. Dit omvat het aaneen rijgen van diverse elementen, om dan uiteindelijk tot een krachtige exploit te komen. Een succesvolle aanval geeft de uitvoerder dan de diepgaande SYSTEM-rechten op Windows-servers. Vaak zijn Windows-systemen waar een DNS-service op draait ook domain controller, waarmee dus de hele IT-infrastructuur van een organisatie binnen bereik ligt. 

Patchnoodzaak

Ontdekker Check Point heeft zelf geen exploitcode ontwikkeld in het kader van zijn melding aan Microsoft. Soms doen security-onderzoekers dit wel om aan te tonen dat een bug daadwerkelijk valt te misbruiken, en dat er dus haast geboden is met het ontwikkelen van patches. Hetzelfde kan gelden voor het installeren van patches zodra die zijn uitgebracht. In het geval van deze kwetsbaarheid is dat dus dinsdagavond 14 juli gebeurd.

Alleen heeft Microsoft daarbij twee opvallende uitzonderingen gemaakt. De ene is een uitzondering op zijn eigen supportbeleid door het oudere Windows Server 2008 ook te voorzien van een patch. Officieel is de ondersteuning voor die versie van het serverbesturingssysteem begin dit jaar (op 14 januari) vervallen. Eerder heeft Microsoft dergelijke uitzondering voor zeer kritieke kwetsbaarheden al wel eens gedaan. Zoals ruim een jaar geleden voor het grote RDP-gat in Windows XP en Server 2003.

Uitzondering 2

Laatstgenoemde versie van Windows Server vormt nu de tweede opvallende uitzondering. Namelijk een uitzondering op de uitzondering voor niet-ondersteunde serverversies. Terwijl Server 2008 in diverse varianten nu wél patches krijgt, geldt dat níet voor Server 2003. Die voorganger geniet officieel allang geen support meer; sinds 14 juli 2015 niet meer. Maar het is wel kwetsbaar, aldus Check Point. AG Connect heeft vragen uitgezet over Microsofts keuze om de alleroudste versie van Windows Server nu niet te beschermen.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.