Eine gefährliche Sicherheitslücke bestand bisher im DNS-System von Windows Server (CVE-2020-1350). Diese wurde durch die aktuellen Patches von Microsoft behoben. Betroffen waren unter anderem OneDrive, Edge und Azure DevOps. DNS-Server sollten daher schnell auf den neuesten Stand gebracht werden.
Schadsoftware kann sich wie ein Wurm ausbreiten
Mit der CVSS-Bewertung von 10 ist die entdeckte Lücke als besonders kritisch zu sehen, denn sie kann zur vollständigem Kompromittierung der Server führen. CVSS steht für Common Vulnerability Scoring System und ist ein vom National Institute of Standards and Technology (NIST) der US-Regierung gefördertes Cybersecurity Bug-Messsystem, das versucht, die Fehlerschwere auf eine einzige, dimensionslose Zahl zwischen 0 und 10 zu reduzieren. Betroffen sind Windows-Server, da der Fehler im Code des Windows-DNS-Servers liegt, nicht jedoch im Code des Windows-DNS-Clients.
Bei Nutzern, die - ob im Büro oder von zu Hause aus - an ein Firmennetzwerk angeschlossen sind, das auf Windows angewiesen ist, könnten sich Cyberkriminelle über die Schwachstelle in den Kern des Netzwerks einhacken. Wird der Server erst einmal von einem Angreifer kontrolliert, dann breitet sich die Malware von dort aus wie ein Wurm auf andere Systeme aus.
Kritische Lücke bestand schon länger
Der Fehler bestand schon lange und hängt mit der Geschichte der DNS-Server zusammen. Als das DNS in den 1990er Jahren erweitert wurde, um digitale Signaturen zu unterstützen, wurde ein neuer Satztyp mit der Nummer 24 und dem Code SIG (kurz für Signatur) definiert. Dieser Satztyp hielt nicht lange, da er bald durch den Satztyp 40, bekannt als RRSIG, ersetzt wurde. Der ursprüngliche Code zur Bearbeitung der Antworten, SIG, blieb weitgehend erhalten und besitzt noch heute ein NAME-Feld, das kompromittiert werden kann. Durch eine Kaskade von Ereignissen würde der Server schließlich abstürzen. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, könnte beliebigen Code im lokalen Systemkonto ausführen. Bis jetzt ist aber unklar, wie dieser Fehler über das bloße Abstürzen des Windows-DNS-Servers hinaus ausgenutzt werden kann.
Diese Lücke ist mit dem aktuellen Patch geschlossen worden, ebenso wie eine weitere Schwachstelle in Skype for Business Server und SharePoint Server. Hier könnten Angreifer über die als CVE-2020-1025 benannte Lücke die Authentifizierung austricksen und dann Zugriff auf die Systeme erlangen. Die Infektion kann bereits erfolgen, wenn eine präparierte Mail in Outlook über das Vorschaufenster betrachtet wird. Eine Installation von Updates ist daher dringend nötig!
Sie möchten Ihre Windows-Server unabhängig von Sicherheitslücken wirksam schützen? Informieren Sie sich hier über Sophos Central InterceptX Advanced for Server und kaufen Sie sich stets aktuelle Sicherheit von Sophos Central gegen moderne Bedrohungen aller Art.
