D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
В прошлом году эксперты компании Check Point обнаружили критическую уязвимость в составе Windows DNS Server, получившую кодовое имя SigRed и идентификатор CVE-2020-1350. Уязвимость набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSSv3. Такой рейтинг означает, что ошибка крайне проста в использовании, и ее эксплуатация почти не требует технических знаний. Также уязвимость может быть использована для автоматизированных удаленных атак и не требует предварительной аутентификации.
Так как баг существовал в коде 17 лет, проблема представляла опасность для всех версий Windows Server, выходивших с 2003 по 2019 год. Для эксплуатации бага хакер мог отправлять вредоносные DNS-запросы к DNS-серверам Windows, что влекло за собой выполнение произвольного кода и могло привести к компрометации всей инфраструктуры.
Уязвимость была исправлена в прошлом году, в рамках июльского «вторника обновлений».
Теперь ведущий ИБ-специалист компании Grapl Валентина Пальмиотти (Valentina Palmiotti) представила PoC-эксплоит для SIGRed, а также опубликовала подробный отчет о его работе, где она также поясняет, как создавать правила SIEM для обнаружения эксплуатации SIGRed.
https://twitter.com/x/status/1366800284563963907
Эксплоит Пальмиотти был успешно протестирован (1, 2) на непропатченных 64-битных версиях Windows Server 2019, 2016, 2012R2 и 2012. Видеодемонстрацию атаки можно увидеть ниже.
Нужно отметить, что эксплоиты для SIGRed появлялись и ранее, однако те версии были способны лишь спровоцировать отказ в обслуживании (DoS).
Источник: xakep.ru/2021/03/05/sigred-rce/
Так как баг существовал в коде 17 лет, проблема представляла опасность для всех версий Windows Server, выходивших с 2003 по 2019 год. Для эксплуатации бага хакер мог отправлять вредоносные DNS-запросы к DNS-серверам Windows, что влекло за собой выполнение произвольного кода и могло привести к компрометации всей инфраструктуры.
Уязвимость была исправлена в прошлом году, в рамках июльского «вторника обновлений».
Теперь ведущий ИБ-специалист компании Grapl Валентина Пальмиотти (Valentina Palmiotti) представила PoC-эксплоит для SIGRed, а также опубликовала подробный отчет о его работе, где она также поясняет, как создавать правила SIEM для обнаружения эксплуатации SIGRed.
https://twitter.com/x/status/1366800284563963907
Эксплоит Пальмиотти был успешно протестирован (1, 2) на непропатченных 64-битных версиях Windows Server 2019, 2016, 2012R2 и 2012. Видеодемонстрацию атаки можно увидеть ниже.
Нужно отметить, что эксплоиты для SIGRed появлялись и ранее, однако те версии были способны лишь спровоцировать отказ в обслуживании (DoS).
Источник: xakep.ru/2021/03/05/sigred-rce/