Descoberta vulnerabilidade crítica em ambientes Microsoft

A Check Point Research identificou uma vulnerabilidade crítica no servidor DNS de Windows. Esta falha de segurança (referenciada como CVSS 10.0, a maior pontuação de perigosidade possível) permitiria a um cibercriminoso realizar consultas de DNS maliciosas a um servidor de Windows e poder efetuar uma execução de código que poderia dar o controlo total sobre a infraestrutura de IT de uma empresa. Esta vulnerabilidade crítica, à qual os investigadores da Check Point denominaram como SigRed, afeta as versões dos servidores de Windows de 2003 a 2019. 

O DNS faz parte da infraestrutura global da internet e traduz os nomes familiares dos websites que todos os utilizadores utilizam, em linhas de código que os computadores necessitam para conseguir encontrar o website, ou enviar um e-mail. Quando se possui um nome de domínio, controla-se o número a que este nome é respondido via um ‘DNS record’. Estes servidores existem em todas as organizações, e, se explorados, dão ao hacker direitos de administração de domínio sobre o servidor, permitindo ao hacker intercetar e manipular os emails dos utilizadores e o tráfego de rede, tornar serviços indisponíveis, roubar as credenciais dos utilizadores, ou seja, um cibercriminoso pode obter total controlo de toda a infraestrutura de TI de uma organização. 

A vulnerabilidade reside na forma como o servidor DNS de Windows analisa a consulta efetuada, bem como a análise da resposta a uma consulta. Em caso de ser maliciosa, desencadeia um aumento de carga do bufer, que permite ao cibercriminoso enganar o controlo do servidor.  

Por outro lado, a gravidade desta falha de segurança fica demonstrada pela Microsoft descrever como 'wormable', o que significa que uma só exploração pode desencadear a propagação de ataques sem necessidade de nenhuma interação humana. Como a segurança do DNS não é algo que muitas organizações monitorizem ou que tenham controlo estreito, um único equipamento pode tornar-se num “super propagador”, permitindo que o ataque se estenda através da rede de uma organização em pouco minutos. 

“Uma falha de um servidor de DNS é algo muito sério. A maioria das vezes, coloca o atacante à distância mínima de controlar toda a organização. Existe um número muito reduzido de tipos de vulnerabilidades deste tipo que foram descobertas. Cada organização, seja qual for a sua dimensão, se utilizar uma infraestrutura Microsoft encontra-se sobre um risco de segurança elevado, caso não aja de imediato, pois pode estar a deixar a descoberto toda a rede corporativa. Esta vulnerabilidade encontra-se no código da Microsoft há já 17 anos, por isso, se nós a encontramos, é possível de assumirmos que outros também já possam ter encontrado”, indica Omri Herscovici, Vulnerability Research Team Leader na Check Point. “As nossas diversas investigações mostram-nos que não importa o quão seguros pensemos que estamos, pois existe um conjunto infinito de problemas de segurança que não controlamos e que se enocntram à espera de ser encontrados e explorados. Batizamos esta vulnerabilidade de ‘SigRed’, pois acreditamos que deve ser de prioridade máxima remediar esta situação. Isto não é mais uma pequena vulnerabilidade encontrada, mas sim uma oportunidade para a próxima pandemia cibernética”.