vulnerabilità
Microsoft ha informato della presenza della vulnerabilità CVE-2020-1350 nel server DNS di Windows. Notizia cattiva: la vulnerabilità ha ottenuto un 10 nella scala CVSS, il che significa che ci troviamo di fronte a una vulnerabilità critica. Notizia buona: I cybercriminali possono sfruttarla solo se il sistema opera in modalità server DNS. In altre parole, il numero di computer potenzialmente vulnerabili è relativamente ridotto. Inoltre, l’azienda ha già rilasciato delle patch e un workaround.
In cosa consiste questa vulnerabilità e quanto è pericolosa?
La vulnerabilità CVE-2020-1350 consente ai cybercriminali di forzare i server DNS che eseguono Windows Server e ad avviare il codice dannoso da remoto. In altre parole, la vulnerabilità appartiene alla classe RCE. Per sfruttare la CVE-2020-1350, basta inviare una richiesta al server DNS generata appositamente.
Il codice di terze parti viene poi eseguito nel contesto dell’account LocalSystem. Questo account ha ampi privilegi sul computer locale e funge da computer sulla rete. Inoltre, il sottosistema di sicurezza non riconosce l’account LocalSystem. Secondo Microsoft, il pericolo principale della vulnerabilità è che può essere utilizzata per diffondere una minaccia sulla rete locale, ed è stata quindi classificata come wormable.
Chi si trova nella zona a rischio della vulnerabilità CVE-2020-1350?
Tutte le versioni di Windows Server sono vulnerabili, ma solo se eseguite in modalità server DNS. Se la vostra azienda non ha un server DNS o utilizza un server DNS basato su un sistema operativo diverso, non avete nulla di cui preoccuparvi.
Fortunatamente, la vulnerabilità è stata scoperta dalla Check Point Research e non esistono ancora informazioni pubbliche su come sfruttarla. Inoltre, attualmente non vi è alcuna prova che la CVE-2020-1350 sia stato sfruttata da quale cybercriminale.
Tuttavia, è molto probabile che, nel momento in cui Microsoft ha consigliato l’aggiornamento del sistema, i criminali informatici abbiano iniziato ad analizzare i server DNS vulnerabili e le patch rilasciate per capire come sfruttare la vulnerabilità. Nessuno dovrebbe indugiare nell’installare la patch.
Cosa fare
Come già detto, è meglio installare subito la patch Microsoft, che modifica il metodo di gestione delle richieste da parte dei server DNS. La patch è disponibile per Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server versione 1903, Windows Server versione 1909 e Windows Server versione 2004. È possibile scaricarla dalla pagina Microsoft dedicata a questa vulnerabilità.
Tuttavia, alcune grandi aziende hanno regole interne e una routine consolidata per gli aggiornamenti del software, e i loro amministratori di sistema potrebbero non essere in grado di installare immediatamente la patch. Per evitare che i server DNS vengano compromessi in casi come questi, l’azienda ha proposto anche un workaround, ovvero apportare le seguenti modifiche al registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
Dopo aver salvato le modifiche, sarà necessario riavviare il server. Va precisato che questa soluzione può potenzialmente portare a un malfunzionamento del server, nel raro caso in cui il server riceva un pacchetto TCP più grande di 65,280 byte, per cui Microsoft consiglia di eliminare la chiave TcpReceivePacketSize e il suo valore e, una volta installata la patch, di riportare la voce del registro di sistema al suo stato originale.
Per quanto ci riguarda, vogliamo ricordarvi che il server DNS della vostra infrastruttura non è altro che un computer e, come un qualsiasi altro endpoint, può contenere delle vulnerabilità che i criminali informatici possono cercare di sfruttare. Pertanto, come qualsiasi altro endpoint sulla rete, richiede la protezione di una soluzione di sicurezza adeguata, come Kaspersky Endpoint Security for Business.
Consigli