Windows DNS SIGRed bug gets first public RCE PoC exploit
أصبح استغلال إثبات المفهوم (proof-of-concept PoC) متاحًا للجمهور الآن للثغرة الأمنية الحاسمة لتنفيذ التعليمات البرمجية عن بُعد (remote code execution RCE) لخادم SIGRed في Windows DNS Server.
أصدرت Microsoft تحديثات أمنية لمعالجة الثغرة الأمنية التي تم تعقبها مثل CVE-2020-1350 في 14 يوليو 2020، جنبًا إلى جنب مع حل بديل قائم على التسجيل registry-based workaround يساعد على حماية خوادم Windows المتأثرة من الهجمات.
لقد كان SIGRed موجودًا في رمز Microsoft لأكثر من 17 عامًا، وهو يؤثر على جميع إصدارات Windows Server 2003 حتى 2019، وقد حصل على تصنيف أقصى شدة يبلغ 10 من أصل 10.
تم تصنيف الخلل من قبل Microsoft على أنه قابل للفيروس wormable، مما يشير إلى أن البرامج الضارة التي تستغلها قد تكون قادرة على الانتشار تلقائيًا بين الأجهزة الضعيفة على الشبكة دون تدخل المستخدم.
هذا يضعه في نفس فئة المخاطر مثل خطأ BlueKeep في بروتوكول سطح المكتب البعيد (Remote Desktop Protocol RDP) وخلل EternalBlue في (Server Message Block SMB).
بعد الاستغلال الناجح لـ SIGRed ضد خوادم وحدة التحكم بالمجال (domain controller DC) التي تشغل DNS، يمكن للمهاجمين غير المصادق عليهم تنفيذ التعليمات البرمجية عن بُعد مثل SYSTEM.
أصدرت Microsoft تحديثات أمنية لمعالجة الثغرة الأمنية التي تم تعقبها مثل CVE-2020-1350 في 14 يوليو 2020، جنبًا إلى جنب مع حل بديل قائم على التسجيل registry-based workaround يساعد على حماية خوادم Windows المتأثرة من الهجمات.
لقد كان SIGRed موجودًا في رمز Microsoft لأكثر من 17 عامًا، وهو يؤثر على جميع إصدارات Windows Server 2003 حتى 2019، وقد حصل على تصنيف أقصى شدة يبلغ 10 من أصل 10.
تم تصنيف الخلل من قبل Microsoft على أنه قابل للفيروس wormable، مما يشير إلى أن البرامج الضارة التي تستغلها قد تكون قادرة على الانتشار تلقائيًا بين الأجهزة الضعيفة على الشبكة دون تدخل المستخدم.
هذا يضعه في نفس فئة المخاطر مثل خطأ BlueKeep في بروتوكول سطح المكتب البعيد (Remote Desktop Protocol RDP) وخلل EternalBlue في (Server Message Block SMB).
بعد الاستغلال الناجح لـ SIGRed ضد خوادم وحدة التحكم بالمجال (domain controller DC) التي تشغل DNS، يمكن للمهاجمين غير المصادق عليهم تنفيذ التعليمات البرمجية عن بُعد مثل SYSTEM.
تم الاختبار مع عدة إصدارات Windows Server
كما نشرت Valentina Palmiotti، الباحثة الأمنية الرائدة في Grapl، والتي شاركت في إثبات الحماية، تقريرًا يتضمن تفاصيل حول الأساليب المستخدمة في الاستغلال.
وأوضحت Palmiotti: "إذا تم استغلالها بعناية، يمكن للمهاجمين تنفيذ التعليمات البرمجية عن بُعد على النظام المعرض للخطر واكتساب حقوق إدارة المجال، مما يؤدي بشكل فعال إلى تعريض البنية التحتية للشركة بالكامل للخطر".
تم اختبار استغلال PoC العامل (1، 2) بنجاح ضد إصدارات 64 بت غير المصححة من Windows Server 2019 و 2016 و 2012R2 و 2012.
يمكن للمسئولين الذين لم يصلحوا خوادمهم بعد ولا يمكنهم نشر تحديثات الأمان الضرورية على الفور تطبيق الإصلاح البديل من Microsoft (لا يتطلب إعادة التشغيل).
تتضمن كتابة Palmiotti أيضًا معلومات حول كيفية إنشاء قواعد SIEM للكشف عن استغلال SIGRed.
شارك الباحث فيديو توضيحيًا يعرض استغلال SigRed CVE-2020-1350 RCE أثناء العمل.
مآثر SIGRed DoS المتاحة للجمهور
تم نشر ثغرات SIGRed PoC من قبل، مع البرامج النصية المصممة لتشغيل شروط رفض الخدمة (denial-of-service DoS) التي تمت مشاركتها علنًا، بعد أيام من تصحيح Microsoft للخطأ.
ومع ذلك، هذا هو أول استغلال يعمل عن بعد لتنفيذ التعليمات البرمجية منذ أن تعاملت Microsoft مع الثغرة الأمنية.
لإنشاء RCE PoC هذا، استخدمت Palmiotti بعض تقنيات الاستغلال التي شاركها Worawit Wang الباحث الأمني في DATAFARM في مقالة نُشرت في سبتمبر 2020.
بعد يومين من معالجة Microsoft للخطأ، أمرت CISA الوكالات الفيدرالية بتصحيح عيب SIGRed في غضون 24 ساعة.
أصدرت وكالة الأمن القومي أيضًا تقريرًا استشاريًا [PDF] يحث المسئولين على تطبيق التصحيح CVE-2020-1350 على جميع خوادم Windows على الفور.
وصل SIGRed أيضًا إلى أكبر 25 نقطة ضعف في وكالة الأمن القومي التي أسيء استغلالها بشكل نشط من قبل مجموعات القرصنة المدعومة من الصين، جنبًا إلى جنب مع نقاط ضعف Windows الهامة الأخرى مثل Zerologon و BlueKeep.
تم نشر ثغرات SIGRed PoC من قبل، مع البرامج النصية المصممة لتشغيل شروط رفض الخدمة (denial-of-service DoS) التي تمت مشاركتها علنًا، بعد أيام من تصحيح Microsoft للخطأ.
ومع ذلك، هذا هو أول استغلال يعمل عن بعد لتنفيذ التعليمات البرمجية منذ أن تعاملت Microsoft مع الثغرة الأمنية.
لإنشاء RCE PoC هذا، استخدمت Palmiotti بعض تقنيات الاستغلال التي شاركها Worawit Wang الباحث الأمني في DATAFARM في مقالة نُشرت في سبتمبر 2020.
بعد يومين من معالجة Microsoft للخطأ، أمرت CISA الوكالات الفيدرالية بتصحيح عيب SIGRed في غضون 24 ساعة.
أصدرت وكالة الأمن القومي أيضًا تقريرًا استشاريًا [PDF] يحث المسئولين على تطبيق التصحيح CVE-2020-1350 على جميع خوادم Windows على الفور.
وصل SIGRed أيضًا إلى أكبر 25 نقطة ضعف في وكالة الأمن القومي التي أسيء استغلالها بشكل نشط من قبل مجموعات القرصنة المدعومة من الصين، جنبًا إلى جنب مع نقاط ضعف Windows الهامة الأخرى مثل Zerologon و BlueKeep.