محققان امنیتی به شرکتها هشدار دادهاند تا ویندوز سرور را به روز کرده و از شبکههای خود در برابر آسیب پذیری خطرناکی که ۱۷ سال است در کدهای این سیستم عامل پنهان شده محافظت کنند.آسیب پذیری مورد بحث که با کد CVE-2020-1350 شناسایی میشود، در سیستم امتیازدهی آسیب پذیری عام (CVSS)، امتیاز ۱۰٫۰ یا بسیار خطرناک را دریافت کرده و در آپدیت امنیتی جدید مایکروسافت که دیروز منتشر شد رفع شده است.
این آسیب پذیری توسط محققان امنیتی شرکت Check Point کشف شده و به Microsoft Windows DNS و نرم افزار سرور مربوط میشود. به گفته محققان این آسیب پذیری که SigRed نام گرفته، اهمیت بالایی دارد چرا که قابلیت تبدیل شدن به کرم را داشته و میتواند بدون دخالت کاربر از یک سیستم آسیب پذیر به سیستم آسیب پذیر دیگر رفته و شبکه را به طور کامل آلوده کند.هکرها با سواستفاده از این حفره میتوانند کوئریهای مخرب DNS را در سرورهای ویندوز DNS ایجاد کرده و به طور کامل به زیرساخت شبکه نفوذ کنند. این آسیب پذیری در تمام نسخههای ویندوز سرور از سال ۲۰۰۳ تا ۲۰۱۹ وجود دارد. هکرها به واسطه این حفره کنترل سرور را به دست گرفته و توانایی دستکاری ایمیلها و ترافیک شبکه، از دسترس خارج کردن سرویسها، سرقت نام کاربری و رمز عبور کاربران و غیره را پیدا میکنند.
شرکت Check Point یافتههای خود از این آسیب پذیری را در تاریخ ۱۹ مه (۳۰ اردیبهشت) در اختیار میکروسافت قرار دارد. این شرکت پس از تأیید این حفره و شناسایی آن به عنوان آسیب پذیری کرم شدنی، دیروز (۲۴ تیر) پچ آن را منتشر کرد.
در حال حاضر مشخص نیست وسعت سواستفاده از این آسیب پذیری تا چه حد است، اما به مدت ۱۷ سال در کدهای مایکروسافت پنهان شده بوده و به گفته شرکت امنیتی Check Point احتمال دارد در این بازه از آن سواستفاده شده باشد.
Microsoft patches extremely critical 17 years old wormable exploit in Windows Server
Microsoft Warns of a 17-Year-Old ‘Wormable’ Bug
Checkpoint Security has discovered that a wormable exploit in Windows Domain Name System Server that could lead to a heap-based buffer overflow which would allow hackers to intercept and interfere with users’ emails and network traffic, tamper with services, steal users’ credentials and more.
Dubbed SigRed, Microsoft explains in CVE-2020-1350 (Windows DNS Server Remote Code Execution Vulnerability):
A remote code execution vulnerability exists in Windows Domain Name System servers when they fail to properly handle requests. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the Local System Account. Windows servers that are configured as DNS servers are at risk from this vulnerability.
To exploit the vulnerability, an unauthenticated attacker could send malicious requests to a Windows
Microsoft has scored the vulnerability a 10/10 on the Common Vulnerability Scoring System. Microsoft says they have not seen the vulnerability being exploited in the wild and have fortunately released a patch.
“A DNS server breach is a very serious thing. Most of the time, it puts the attacker just one inch away from breaching the entire organization,” said Omri Herscovici, Check Point’s vulnerability research team leader. “This vulnerability has been in Microsoft code for more than 17 years; so if we found it, it is not impossible to assume that someone else already found it as well.”
Microsoft has released patches for Windows Server 2008 and upwards.