Операционная система Windows Server была выпущена в 2003 году. С самого начала в ней была серьезная уязвимость, предоставляющая киберпреступникам возможность получения контроля над сервером, которым ОС управляла. ИБ-специалисты обнаружили ее несколько месяцев назад, но только в июле 2020 г. Microsoft заявила о выпуске патча, устраняющего проблему.
После обнаружения уязвимость получила название SigRed. Она содержалась в серверных ОС Windows Server в течение 17 последних лет. Найдена проблема была экспертами компании Check Point. Они отметили, что актуальность этой уязвимости сохранялась от одной версии Windows Server к другой, несмотря на выпускаемые обновления системы.
Киберпреступники могли эксплуатировать найденную уязвимость, чтобы проводить удаленные кибератаки, в том числе автоматизированные, не требующие предварительно аутентификации в атакуемой системе. По классификатору CVSSv3 уязвимость SigRed получила высшую оценку – 10 баллов. Это свидетельствует о том, что для ее применения киберпреступникам даже не требовалось обладает соответствующими знаниями – она была кране проста в эксплуатации, поэтому ее могли использовать даже начинающие хакеры.
По информации специалистов компании Check Point, применение уязвимости SigRed производится киберпреступником за счет вредоносных DNS-запросов к DNS-серверам операционной системы. Это позволяет запускать на атакуемой системе код, получать контроль над управляемыми серверами. Более того, у хакера после успешной атаки появляются возможности по управлению веб-трафиком, он получает доступ к конфиденциальной пользовательской информации (если она присутствует на сервере), получает возможность контроля электронной почты пользователей, которые подключены к атакуемому серверу.
Функционирование уязвимости базируется на основных принципах анализа DNS-сервером операционной системы каждого входящего DNS-запроса и обработки переадресованных запросов. Например, если отправить DNS-запрос длиной более 64 КБ, то это станет причиной контролируемого переполнения буфера, за счет чего киберпреступник и сможет исполнить удаленно код в атакуемой системе.
Эксперты компании Check Point назвали найденную проблему червеобразной уязвимостью. Также сообщается, что эксплуатация уязвимости в одной системе зачастую запускает своеобразную цепную реакцию, из-за чего атака распространяется с одного скомпрометированного сервера на другие без применения киберпреступником каких-либо вспомогательных действий.
