Zur Startseite gehen
0,00 €*

Kritische Sicherheitslücke in Windows Server

von: 16. Juli 2020

Mit dem vergangenen „Patch Tuesday“ wurden durch Microsoft 123 Bugs gefixt, darunter 20 mit der Kategorie „Kritisch“.

Einer dieser Bugs, eine Sicherheitslücke in Windows DNS Server, hat besonderes Aufsehen erregt. Nach Einschätzungen Microsofts handelt es sich hierbei um eine Schwachstelle, die es Malware erlaubt sich ohne Benutzerinteraktion wurmartig im Netzwerk zu verbreiten. Da DNS eine fundamentale Netzwerkkomponente darstellt und häufig auf Active Directory-Systemen installiert ist, kann diese Schwachstelle dazu führen, dass Services signifikant eingeschränkt und High Level Domain Accounts kompromittiert werden.

Bei der Schwachstelle handelt es sich um einen lang bestehenden Bug, der in jeder von Microsoft unterstützten Version von Windows Server gefixt werden muss, und betrifft damit alle Systeme beginnend mit Windows Server 2008 und aufwärts.

Der offizielle Name der Schwachstelle lautet CVE-2020-1350 und hat eine CVSS-Gefahrenwertung von 10.0, die absolute Höchstwertung. Das Update auf die neueste Version wird also dringend empfohlen.

Eine entsprechende IPS-Signatur wurde auf XG v18 Firewalls ausgerollt. Eine entsprechende IPS-Signatur für Intercept X Advanced für Server steht in Kürze bereit.

 

Folgende Bereiche werden beschrieben:

  • Der Bug und wo er zu finden ist
  • Workaround
  • Technischer Hintergrund

Der Bug und wo er zu finden ist

Bei DNS (Domain Name System) handelt es sich um eine globale, verteilte Datenbank, die dazu dient Hostnamen in ihre zugehörigen IP-Adressen umzuwandeln. Kann ein DNS-Server diese Namensauflösung nicht lokal vornehmen, leitet er die Anfrage an andere DNS-Server weiter und empfängt von diesen die entsprechenden Daten.

CVE-2020-1350 existiert in dem Teil der Windows DNS Software, die auf diese DNS-Antworten lauscht, statt in dem Teil, der auf die eigentlichen DNS-Anfragen lauscht. Da die Windows DNS Server und die DNS-Clientprogramme sich keinen Code teilen, betrifft der Fehler ausschließlich die Server.

Workaround

Für den Fall, dass sie ihre Windows Server nicht updaten können, weil sie beispielsweise auf ein Wartungsfenster warten müssen, hat Microsoft einen Workaround veröffentlicht der den Bug unterdrückt

  1. In der Registry, navigieren sie zu dem Schlüssel 
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  2. Suchen bzw. Erstellen sie den DWORD-Wert 
    TcpReceivePacketSize
  3.  Setzen sie den Wert auf: FF00 (hexadezimal) oder 65280 (dezimal)
  4. Starten sie den DNS-Server neu.

Hierdurch wird verhindert, dass die DNS-Antwort nach Dekompression zu einem Integer Overflow führt, da DNS-Pakete mit entsprechenden Größen nicht zugelassen werden.

Technischer Hintergrund

DNS-Netzwerkverkehr nutzt ein altes und datensparsames Format, welches in den frühen 80er Jahren entstanden ist. Da Speicherplatz und Netzwerk-Bandbreite knappe Güter waren, wurden Daten nicht mitausdrucksstarken, selbst-dokumentierenden Formaten wie beispielsweise JSON, sondern als dicht gepackte binäre Pakete versandt. Der Mepfänger musst vorab wissen, welches Byte an Daten mit welchen Einstellungen in Verbindung stand um diese Pakete korrekt zu interpretieren.

Während heutzutage während der Dekodierung der Daten der entsprechend benötigte Speicherplatz zugewiesen wird und der Empfänger die finale Größe des Paketes selbst ausarbeitet, wurde DNS unter der Annahme designed, dass fast alle normalen Anfragen und Antworten in 512 Byte gefasst werden können, abzüglich eines 12 Byte großen Headers. Für längere Antworten gibt es eine besondere, aber langsamere Übertragungsmethode, formatiert als zwei Bytes die die Länge der Daten bestimmen, gefolgt von genau dieser Menge an Daten in Bytes. Die größte mit zwei Bytes darstellbare Zahl ist 65535.

Es existieren viele Arten von DNS-Antworten,alternativ bekannt als Resource Records oder RRs, welche wiederum unterschiedlichste Datenfelder enthalten. Ein häufig vorkommendes Datenfeld ist NAME, ein Text-String, der aus einem Byte zur Bestimmung der Stringlänge und exakt dieser Menge an Bytes besteht.

Um zu verhindern, dass gefälschte Anfragen oder Antworten in das System injiziert werden , wurde in den 90er Jahren Unterstützung für Digitale Signaturen implementiert und ein neuer RR-Typ namens SIG (kurz für Signature) definiert. Nicht lang nach seiner Implementierung wurde der SIG-Typ durch den neuen RRSIG-Typ ersetzt. RRSIG folgt dem selben Format, wie SIG, unterliegt aber anderen Formatierungsregeln.

Es wird davon ausgegangen, dass der Code für SIG als Grundlage genutzt wurde, um RRSIG zu implementieren und im folgenden geupdatet, gefixt und verbessert wurde, während der ursprüngliche SIG zwar weiterhin vorhanden, aber keinen Änderungen unterworfen war.

Dieser Code trifft die folgenden Annahmen

  • die größte Datenmenge in einer DNS-Antwort ist 65535 Bytes
  • Dia maximale Menge an Speicher, die für eine DNS-Antwort benötigt wird ist 65535 Bytes
  • Daher bietet ein „unsigned short int“ (eine 16-bit Zahl) genug Präzision für die Berechnungen

SIG-Records enthalten jedoch ein NAME-Feld, das, mithilfe von DNSs rudimentären Kompressions-Algorithmus, in komprimierter Form übermittelt werden kann, sodass ein NAME-String mit einer Größe von 255 Byte extrahiert, auf bis zu zwei Bytes in einer DNS-Anfrage herunterkomprimiert werden kann.

Wird mithilfe dieser Komprimierung eine DNS-Antwort gesendet, die die maximale Größe von 65535 Bytes hat, kann diese nach dem extrahieren des Namensfeldes eine Größe von 65535+x Bytes erreichen und führt in dem „unsigned short int“ zu einem Integer Overflow. Hierdurch wird für die DNS-Antwort lediglich Speicherplatz im Wert von x-1 Bytes freigegeben, der zugewiesene Speicher läuft über und der DNS-Server stürzt ab.

Hintergrund für die lange Lebensdauer dieses Bugs ist, dass SIG im DNS-Verkehr schlicht nicht mehr genutzt wird, wodurch es auch keine Gelegenheit gab, in den Bug zu laufen.

Sowohl Check Point, die diesen Bug entdeckt haben, als auch Microsoft selbst, gehen davon aus, dass diese Sicherheitslücke genutzt werden kann, um beliebigen Code im Kontext des Lokalen System Accounts auszuführen.

 

Produktgalerie überspringen

Zugehörige Produkte

Sophos Central Intercept X Advanced für Server
Sophos Central Intercept X Advanced für Server
Unbekannte Bedrohungen blockieren Intercept X for Server ermöglicht dies mit Deep Learning, einer Sonderform des Machine Learning, das bekannte und unbekannte Malware ohne Signaturen erkennen kann. Deep Learning macht Intercept X for Server intelligenter, skalierbarer und effektiver im Kampf gegen völlig unbekannte Bedrohungen. Deep Learning macht Intercept X for Server leistungsstärker als Security-Lösungen, die sich allein auf herkömmliches Machine Learning oder eine signaturbasierte Erkennung verlassen. Ransomware im Keim ersticken Die Anti-Ransomware-Funktionen von Intercept X for Server erkennen schädliche Verschlüsselungsprozesse und stoppen diese, bevor sie sich im Netzwerk ausbreiten können. Sowohl dateibasierte als auch MBR(Master-Boot-Record)-Ransomware werden zuverlässig abgewehrt. Alle verschlüsselten Dateien werden in einen sicheren Zustand zurückversetzt, damit Ihre Mitarbeiter ohne Unterbrechung weiterarbeiten können und Ihre Geschäftskontinuität gewährleistet bleibt. Nach der Bereinigung erhalten Sie detaillierte Informationen, sodass Sie sehen können, wie die Bedrohung sich Zugriff verschafft hat, welche Bereiche betroffen waren und wann die Bedrohung beseitigt wurde. Sie möchten Sophos Central gerne sehen? Dann schauen Sie sich die Live Demo von Sophos Central hier an. Email: [email protected] PW: [email protected] FunktionenIntercept X Essentials for ServerIntercept X Advanced for ServerIntercept X Advanced for Server with XDRIntercept X Advanced for Server with MTR StandardIntercept X Advanced for Server with MTR Advanced Verwaltung Mehrere Richtlinien           Gesteuerte Updates           Reduzierung der Angriffsfläche Application Control           Peripheral Control           Web Control/Kategoriebasierte URL-Blockierung           Application Whitelisting (Server Lockdown)           Download Reputation           Web Security           Vor Ausführung auf einem Gerät Deep-Learning-Malware-Erkennung           Anti-Malware-Dateiscans           Live Protection           Verhaltensanalysen vor Ausführung (HIPS)           Blockierung pot. unerwünschter Anwendungen (PUAs)           Intrusion Prevention System (IPS)           Stoppen von Bedrohungen bei Ausführung Data Loss Prevention           Laufzeit-Verhaltensanalyse (HIPS)           Antimalware Scan Interface (AMSI)           Malicious Traffic Detection (MTD)           Exploit Prevention           Active Adversary Mitigations           Ransomware File Protection (CryptoGuard)           Disk and Boot Record Protection (WipeGuard)           Man-in-the-Browser Protection (Safe Browsing)           Enhanced Application Lockdown           Erkennung Live Discover (umgebungsübergreifende SQL-Abfragen zum Threat Hunting und zur Einhaltung von Sicherheitsvorgaben)           SQL-Abfragen-Library (vorformulierte, individuell anpassbare Abfragen)           Datenspeicherung auf Festplatte (bis zu 90 Tage) mit schnellem Datenzugriff           Produktübergreifende Datenquellen (z. B. Firewall, E-Mail)           Liste mit nach Priorität geordneten Erkennungen           Sophos Data Lake (Cloud-Datenspeicher)     30 Tage 30 Tage 30 Tage Geplante Abfragen           Analyse Bedrohungsfälle (Ursachenanalyse)           Deep Learning-Malware-Analyse           Erweiterte Bedrohungsdaten aus den SophosLabs auf Abruf           Export forensischer Daten           KI-gesteuerte Analysen           Bereinigung Automatisierte Malware-Entfernung           Synchronized Security Heartbeat           Sophos Clean           Live Response (Remote-Terminal-Zugriff für weitere Analysen und Reaktionsmaßnahmen)           On-Demand-Server-Isolation           Mit einem Klick „Entfernen und blockieren“           Transparenz Cloud Workload Protection (Amazon Web Services, Microsoft Azure, Google Cloud Platform)           Synchronized Application Control (Transparenz über Anwendungen)           Verwaltung Ihres Sicherheitsstatus in der Cloud (Cloud Hosts überwachen und schützen, serverlose Funktionen, S3-Buckets etc.)           Laufzeitbasierte Container-Transparenz und -Erkennungen           Zugriff/Berechtigung Update Cache und Message Relay           Automatische Scan-Ausnahmen           File Integrity Monitoring           Managed Service 24/7 indizienbasiertes Threat Hunting           Security Health Checks           Datenspeicherung           Aktivitätsreports           Angriffserkennung           Beseitigung von Bedrohungen und Bereinigung           24/7 indizienloses Threat Hunting           Threat Response Team Lead           Direkter Telefon-Support           Proaktives Security Posture Management           Ransomware File Protection (CryptoGuard)          
97,93 €*
Details
Sophos SG 135 TotalProtect (SG135)
Sophos SG 135 TotalProtect (SG135)
Mit den Rev.-3-Modellen erweitert Sophos die SG/XG 1xx-Modelle um komplett neue Features. Die Features bringen Verbesserungen in den Schwerpunktbereichen Konnektivität, Flexibilität, Zuverlässigkeit und Performance. Produkt-Highlights Revision 3 Für bessere WLAN-Performance und -Reichweite ist jedes w-Modell optional mit integriertem 802.11ac Wi-Fi erhältlich. Für alle SG/XG 1xx-Modelle ist optional eine zweite Stromversorgung erhältlich, die selbst in Kleinunternehmen die Business Continuity sicherstellt. Bei allen SG/XG 125/135-Modellen gibt es für 3G/4G-Module einen Erweiterungsschacht, der in vielen Bereitstellungsszenarien als zusätzliche Anschlussmöglichkeit dient. Ein optionales zweites Wi-Fi-Sendemodul auf dem Modell SG/XG 135w sorgt für bessere Performance und Reichweite und ermöglicht eine gleichzeitige Übertragung bei 2,4 und 5 GHz. Zum Anschluss an Unternehmensbreitbandverbindungen ist nun auf vielfachen Wunsch auf allen SG/XG 1xx Appliances ein SFP Port (z. B. für optionales DSL-Modem) verfügbar. Das TotalProtect Bundle ist die günstige "All-in-One" Option von Sophos. Sie erhalten die SG Series 135 Appliance und dazu den vollen Full Guard Schutz für Ihr Unternehmen. Hierbei haben Sie die Option, das Bundle für ein, zwei oder drei Jahre zu wählen. Je länger die Laufzeit, umso günstiger wird der spezifische Preis für die Appliance. Sophos Security Appliance SG 135 Diese leistungsstarken Firewall-Appliances bieten bei einem Desktop-Formfaktor und -Preis 1U-Performance. Wenn Sie ein Kleinunternehmen oder Außenstellen schützen müssen oder über ein beschränktes Budget verfügen, sind diese Modelle die ideale Wahl. Für eine optimale Abdeckung und Anbindung Ihrer mobilen Mitarbeiter sind die Modelle auch mit integriertem 802.11ac-WLAN erhältlich. Unsere Software basiert auf der modernsten Intel-Architektur und nutzt die Multi-Core-Technologie optimal, um hervorragende Durchsatzraten für Ihre Schlüsselprozesse zu erzielen. Diese Modelle sind mit 8 integrierten GbE-Kupferports ausgestattet und können wie alle Sophos Firewalls zu dynamischen Clustern von bis zu 10 Appliances zusammengefügt werden, um eine höhere Skalierbarkeit zu erreichen. Technische Spezifikationen Vorderansicht SG 135 Rev. 2 Vorderansicht SG 135 Rev. 3 Rückansicht 135 Rev. 2   Rückansicht SG 135 Rev. 3   LeistungSG 135 Rev. 2Rev. 3 Firewall-Durchsatz 6 GBit/s 6.000 MBit/s VPN-Durchsatz 1 GBit/s 1.000 MBit/s IPS-Durchsatz 1,5 GBit/s 1.500 MBit/s Antivirus-Durchsatz (Proxy) 350 MBit/s 1.400 MBit/s Gleichzeitige Verbindungen 2.000.000 2.002.930 Neue Verbindungen/Sek 36.000 36.000 Maximal lizenzsierte Nutzer unbegrenzt unbegrenzt Physische SchnittstellenSG 135 Rev. 2Rev. 3 Speicher integrierte SSD integrierte SSD Prozessor Atom Rangeley Quad Core (2.4 GHz) Denverton C3538 (2.1 GHz) RAM 6 GB DDR3 6 GB Festplatte 64 GB SSD 64 GB SSD LAN-Schnittstellen (fest) 8 GE Kupfer 8 Kupfer + 1 SFP Schnittstellen (Rückseite) 2 x USB 2.0 1 x COM (RJ45)1 x VGA 2 x USB 2.0 1 x Micro-USB 1 x COM (RJ45) 1 x HDMI Stromversorgung extern, automatische Bereichseinstellung DC: 12 V, 100–240 VAC, 50–60 Hz extern, automatische Bereichseinstellung DC: 12 V 100–240 VAC, 36 W@50–60 Hz Optional zusätzliche Stromversorgung (extern) Physische SpezifikationenSG 135w Rev. 2Rev. 3 Montage Rackmontage-Kit erhältlich (muss separat bestellt werden) Rackmontage-Kit erhältlich (muss separat bestellt werden) Abmessungen (Breite x Tiefe x Höhe) 288 x 186,8 x 44 mm 305 x 205 x 44 mm Gewicht 1,7 kg (ohne Verpackung)2,82 kg (mit Verpackung) 1,8 kg (ohne Verpackung) 2,7 kg (mit Verpackung) Physische SpezifikationenSG 135 Rev. 2Rev. 3 Leistungsaufnahme 12,46 W, 49,3 BTU/h (Leerlauf)26,16 W, 89,2 BTU/h (Volllast) 18,6W, 63,426 BTU/h (Leerlauf) 20,04W, 68,336 BTU/h (Volllast) Temperatur 0-40°C (Betrieb) -20 to +80°C (Lagerung) 0–40°C (Betrieb) -20–+80°C (Lagerung) Luftfeuchtigkeit 10%-90%, nicht kondensierend 10 %–90 %, nicht kondensierend SicherheitszertifikateSG 135w Rev. 2Rev. 3 Zertifikate CE, FCC Class B, CB, VCCI, C-Tick, UL, CCC CB, UL, CE, FCC, ISED, VCCI, MIC (Japan), RCM, CCC, KC In Planung: BIS SG 135 FullGuard (Bundle) Full Guard Bundle, das komplette Bundle zum günstigen Preis. Das Full Guard Bundle umfasst sämtliche UTM Subscriptions (E-Mail Protection, Network Protection, Web Protection, Webserver Protection und Wireless Protection) und gibt Ihnen die vollständige Sicherheit der UTM zu einem wesentlich günstigeren Preis als die Einzelsubscriptionen. Bereits ab drei notwendigen Subscriptions, ist das Full Guard Bundle i.d.R. preiswerter als die Einzelpreise und Sie haben die volle Leistungsfähigkeit gewährleistet.
3.109,50 €*
Details

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung