A vulnerabilidade SigRed existe no DNS do Windows, usada por praticamente todas as organizações de pequeno e médio porte do mundo.
Desde que a Wannacry e a NotPetya chegaram à Internet há pouco mais de três anos, o setor de segurança examinou todos os novos erros do Windows que poderiam ser usados para criar um worm semelhante, que abalou o mundo. Agora, uma vulnerabilidade potencialmente “desagradável” – que significa que um ataque pode se espalhar de uma máquina para outra sem interação humana – apareceu na implementação da Microsoft do protocolo do sistema de nomes de domínio, um dos elementos fundamentais da Internet.
Como parte do lote de atualizações de software do Patch Tuesday, a Microsoft lançou hoje uma correção para um bug descoberto pela empresa de segurança israelense Check Point, que os pesquisadores da empresa denominaram SigRed. O bug do SigRed explora o DNS do Windows, um dos tipos mais populares de software DNS que traduz nomes de domínio em endereços IP. O DNS do Windows é executado nos servidores DNS de praticamente todas as organizações de pequeno e médio porte ao redor do mundo. O bug, diz a Check Point, existe nesse software há 17 anos.
A Check Point e a Microsoft alertam que a falha é crítica, 10 em 10 no sistema comum de pontuação de vulnerabilidades, uma classificação de gravidade padrão do setor. O bug do Windows DNS não é apenas solucionável, mas geralmente o software DNS do Windows é executado nos poderosos servidores conhecidos como controladores de domínio que definem as regras das redes. Muitas dessas máquinas são particularmente sensíveis; um ponto de apoio em um permitiria maior penetração em outros dispositivos dentro de uma organização.
Além disso, diz Omri Herscovici, chefe de pesquisa de vulnerabilidades da Check Point, o bug do DNS do Windows pode, em alguns casos, ser explorado sem nenhuma ação por parte do usuário alvo, criando um ataque poderoso e contínuo. “Não requer interação. E não apenas isso, quando você estiver dentro do controlador de domínio que executa o servidor DNS do Windows, expandir seu controle para o resto da rede é realmente fácil”, diz Omri Herscovici. “É basicamente o fim do jogo”.
O Hack
A Check Point encontrou a vulnerabilidade SigRed na parte do DNS do Windows que lida com um determinado dado que faz parte da troca de chaves usada na versão mais segura do DNS conhecida como DNSSEC. Esses dados podem ser criados com códigos maliciosos, de modo que o DNS do Windows permita que um hacker substitua pedaços de memória aos quais eles não deveriam ter acesso, obtendo, finalmente, a execução remota de código completa no servidor de destino. (A Check Point diz que a Microsoft pediu à empresa para não divulgar muitos detalhes de outros elementos da técnica, incluindo como ela ignora certos recursos de segurança nos servidores Windows.)
“É basicamente o fim do jogo”.
OMRI HERSCOVICI, CHECK POINT
Para a versão remota e sem interação do ataque que Herscovici da Check Point descreve, o servidor DNS de destino teria que ser exposto diretamente à Internet, o que é raro na maioria das redes; os administradores geralmente executam o DNS do Windows em servidores que mantêm atrás de um firewall. Mas Herscovici ressalta que, se um hacker puder acessar a rede local, acessando o Wi-Fi corporativo ou conectando um computador à LAN corporativa, poderá desencadear a mesma aquisição de servidor DNS. E também pode ser possível explorar a vulnerabilidade com apenas um link em um email de phishing: engane um alvo a clicar nesse link e seu navegador iniciará a mesma troca de chaves no servidor DNS que dá ao hacker controle total sobre ele.
O Check Point apenas demonstrou que poderia travar um servidor DNS de destino com esse truque de phishing, e não sequestrá-lo. Mas Jake Williams, ex-hacker da Agência de Segurança Nacional e fundador da Rendition Infosec, diz que é provável que o truque de phishing possa ser enganado para permitir a aquisição completa do servidor DNS de destino na grande maioria das redes que não bloqueiam o tráfego de saída em seus firewalls. “Com alguma elaboração cuidadosa, você provavelmente poderia ter como alvo servidores DNS que estão atrás de um firewall”, diz Williams.
Quem é afetado?
Embora muitas organizações grandes usem a implementação BIND do DNS que é executada nos servidores Linux, as organizações menores geralmente executam o DNS do Windows, diz Williams, então milhares de administradores de TI provavelmente precisarão se apressar para corrigir o bug do SigRed. E como a vulnerabilidade SigRed existe no DNS do Windows desde 2003, praticamente todas as versões do software estão vulneráveis.
Embora essas organizações raramente exponham seus servidores DNS do Windows à Internet, tanto o Check Point quanto a Williams alertam que muitos administradores fizeram alterações arquiteturais nas redes – geralmente questionáveis - para permitir melhor que os funcionários trabalhem em casa desde o início da pandemia de Covid-19 . Isso pode significar servidores DNS do Windows mais expostos e abertos à exploração remota total. “O cenário de ameaças de coisas expostas à Internet aumentou dramaticamente” nos últimos meses, diz Williams.
A boa notícia, diz a Check Point, é que a detecção de exploração SigRed de um servidor DNS do Windows é relativamente fácil, dadas as comunicações ruidosas necessárias para acionar a vulnerabilidade. A empresa diz que, apesar dos 17 anos que o SigRed permanece no DNS do Windows, ainda não encontrou nenhuma indicação de ataque às redes de seus clientes até o momento. “Não temos conhecimento de ninguém usando isso, mas se o fizessem, espero que agora pare”, diz Herscovici. Mas, a curto prazo, pelo menos, o patch da Microsoft também pode levar a uma maior exploração do bug, já que os hackers fazem o engenharia reversa do patch para descobrir exatamente como a vulnerabilidade pode ser acionada.
Quão sério é isso?
Herscovici, da Check Point, argumenta que o bug do SigRed deve ser levado tão a sério quanto as falhas exploradas pelas técnicas mais antigas de hackers do Windows, como EternalBlue e BlueKeep. Ambos os métodos de exploração do Windows geraram alarmes devido ao seu potencial de se espalhar de máquina para máquina pela Internet. Embora o BlueKeep nunca tenha resultado em um worm ou em qualquer incidente de hackers em massa além de alguma mineração de criptomoedas, o EternalBlue foi integrado aos worms WannaCry e NotPetya que invadiram as redes globais na primavera e no verão de 2017, tornando-se os dois worms de computador mais prejudiciais da história. “Eu compararia isso ao BlueKeep ou EternalBlue”, diz Herscovici. “Se essa vulnerabilidade fosse explorada, poderíamos obter um novo WannaCry”.
Mas Williams, da Rendition Infosec, argumenta que o bug SigRed é mais provável de ser explorado em ataques direcionados. A maioria das técnicas de SigRed provavelmente não será muito confiável, já que uma mitigação do Windows chamada “controle de controle de fluxo” às vezes pode causar falhas nas máquinas, em vez de serem seqüestradas, diz Williams. E os servidores DNS do Windows totalmente expostos são relativamente raros, portanto a população de máquinas vulneráveis a um worm não é comparável ao BlueKeep ou EternalBlue. A técnica de phishing para explorar o SigRed também não se presta a um worm, pois exigiria que os usuários clicassem em um link.
O SigRed poderia, no entanto, servir como uma ferramenta poderosa para hackers mais exigentes. E isso significa que os administradores do Windows devem se apressar para corrigi-lo imediatamente. “Tecnicamente, é desagradável, mas não acho que haverá um worm baseado na mecânica disso”, diz Williams. “Mas não há dúvida de que adversários bem financiados farão uma exploração por isso”.
Fonte: (https://www.wired.com/)