Op 14 juli is een kritieke kwetsbaarheid in Microsoft DNS Server bekendgemaakt. Deze kwetsbaarheid heeft CVE-nummer CVE-2020-1350 en een CVSS score van 10. Microsoft heeft updates beschikbaar gesteld en via deze weg informeren wij u over de dreiging en de mogelijke mitigatiestappen die kunnen worden uitgevoerd.

De bekendgemaakte kwetsbaarheid is een wormbare kwetsbaarheid in Microsoft DNS server. Dit is een component van Windows Server, die gebruikt wordt door Active Directory. Microsoft DNS Server kan een losse machine zijn, maar het kan ook een rol zijn die een server vervult binnen het domein. Deze kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand willekeurige code uit te voeren, met de rechten van het lokale system account. Dit kan een aanvaller gebruiken om daarmee lokale admin op de betreffende server te worden. Daarna is het eenvoudig om domain administrator te worden. Dat deze kwetsbaarheid ‘wormbaar’ is, wil zeggen dat deze aanval automatisch van server naar server kan springen zonder dat hiervoor interactie van een gebruiker nodig is. Dit kan leiden tot een snelle verspreiding na de initiële aanval.

Kwetsbaarheid CVE-2020-1350 maakt het mogelijk voor aanvallers om, uiteindelijk, domain admin te worden binnen het Windows-domein, en de impact is daarmee hoog. Een aanvaller krijgt potentieel toegang tot alle rollen en rechten binnen het Windows-domein en dus tot de data die in dat domein beheerd wordt. Deze kwetsbaarheid geldt voor alle Windows Server versies van 2003 tot en met 2019. Er is nog geen publieke/actieve exploitcode beschikbaar. Deze wordt echter wel op korte termijn verwacht, gezien de vrijgegeven patch gebruikt kan worden om te achterhalen wat de onderliggende kwetsbaarheid is. Daarmee schatten we het risico van deze kwetsbaarheid in op hoog.

Advies

PQR raadt aan om onmiddellijk de vrijgegeven update te installeren. De updates zijn beschikbaar vanaf de portal van Microsoft: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350. Na het updaten is het vereist om de server te herstarten.

Als het niet mogelijk is deze update te installeren, is er een workaround beschikbaar: https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability. Deze workaround brengt potentiële bijeffecten met zich mee, die ook beschreven staan op de bovenstaande pagina.

Bij de Managed Services klanten van PQR is de update of workaround inmiddels uitgevoerd.

Heeft u hulp nodig of advies rondom deze kwetsbaarheid, neem dan contact op met PQR.

Voor gedetailleerde informatie en de vrijgegeven updates, kunt u terecht op deze Microsoft pagina’s:

Geplaatst door

Marinka van der Eng

Marinka is Senior Marketeer bij PQR. Ze heeft ruime ervaring in diverse soorten marketing functies bij IT en Tech bedrijven en vertaalt technische oplossingen in waarde voor de klanten door middel van content, campagnes en events.