Компания Microsoft выпустила исправление, устраняющее три критические уязвимости DNS-клиента Windows, которые позволяли злоумышленнику относительно просто отправлять вредоносный код в ответ на DNS-запросы и добиваться выполнения произвольного кода в системах под управлением Windows и Windows Server.

Эту проблему обнаружил исследователь Ник Фриман (Nick Freeman) из компании Bishop Fox и конфиденциально сообщил о них Microsoft. Злоумышленник, работающий в локальной сети или проводящий атаку типа «человек в середине», мог добавить вредоносное содержимое в DNS-ответ на DNS-запрос компьютера под управлением Windows и тем самым эксплуатировать уязвимость.

Ошибка затрагивает клиентские системы Windows 8 и Windows 10, а также Windows Server 2012 и 2016 — их администраторам рекомендуется как можно скорее установить обновление.

Компания Bishop Fox сообщила, что на данный момент ей не известны случаи публичных атак с использованием этой уязвимости.

«В большинстве случаев единственное условие — чтобы злоумышленник был подключен к той же сети, что и цель», — говорит Фриман.

Ошибка, получившая номер CVE-2017-11779, появилась с введением расширений DNSSEC через библиотеку DNSAPI.dll в операционные системы Microsoft (впервые они были введены в Windows 8). Фриман говорит, что источником ошибки является запись о ресурсах DNS под названием NSEC3, которую обрабатывает функция Nsec3_RecordRead, поскольку анализ записей о ресурсах NSEC3 проводится без должной защиты. Пользователи оказываются под угрозой вне зависимости от того, как они взаимодействуют с клиентской или серверной системой, так как DNS-запросы могут выполняться незаметно в фоновом режиме процессами, ищущими IP-адреса, или более явно браузерами, почтовыми приложениями или, например, службами потоковой передачи музыки.

В своем отчете компания Bishop Fox отметила, что расширения DNSSEC вводились в Windows в том числе для того, чтобы сделать использование DNS безопаснее: этот протокол использует открытый текст, поэтому он подвержен высокому риску атак типа «человек в середине». Однако вместе с DNSSEC появилась и уязвимость NSEC3.

«DNS-клиент Windows выполняет недостаточно проверок достоверности при обработке DNS-ответа, содержащего запись NSEC3, — написал Фриман в опубликованном 10 октября отчете. — Искаженные записи NSEC3 могут эксплуатировать уязвимость и повреждать память DNS-клиента. Если провести операцию аккуратно, можно добиться выполнения произвольного кода в целевой системе».

Фриман отмечает, что все могло быть гораздо хуже: «Если запись искажена, она не пройдет через нормальную DNS-систему. Промежуточные серверы не передадут ее дальше, так как она не соответствует стандарту записи NSEC3. И это хорошо, так как в ином случае уязвимость было бы проще эксплуатировать, и последствия были бы серьезнее. Сейчас, чтобы воспользоваться этой ошибкой, злоумышленник должен быть между вами и тем DNS-сервером, который вы используете».

Однако если злоумышленникам удалось оказаться в нужной сети, они могут использовать три ошибки переполнения динамической области памяти, чтобы получить расширенные права на компьютере под управлением Windows, а значит, и доступ к хранящимся локально конфиденциальным данным или возможность запустить код на клиентском компьютере или сервере. По словам Фримана, то, что функция Nsec3_RecordRead не может корректно и надежно проанализировать записи о ресурсах, открывает возможность для многократных сбоев.

«Ответственная библиотека DNSAPIDLL обычно используется службой DnsCache, которая выполняется в рамках процесса svchost.exe, принадлежащего пользователю NTAUTHORITY\NETWORKSERVICE, и предоставляет сервис кэширования DNS для DNS-клиента в системах Windows, — пишет Фриман. — Ее также импортируют другие приложения для создания DNS-запросов».

Уязвимость особенно опасна для компаний, поскольку она ставит под удар серверы Windows, считает старший помощник по вопросам безопасности компании Bishop Fox Дан Петро (Dan Petro): «Злоумышленники особенно любят уязвимости такого типа, ведь это — фактически ключи от всей организации. Вместо того чтобы атаковать ноутбуки или настольные компьютеры отдельных сотрудников, злоумышленник может получить доступ ко всем данным компании и ее инфраструктуре».

Категории: Аналитика, Главное, Кибероборона, Уязвимости