Una nuova, grave vulnerabilità di sicurezza affligge l’ecosistema Windows da oltre 17 anni. Un problema che, diversamente da PrintDemon, può essere sfruttato per condurre attacchi da remoto ed è “wormabile”. I cyber-criminali e gli autori di ransomware ci andranno a nozze, insomma, anche se le patch sono già pronte.
Identificata dai ricercatori di Check Point e ribattezzata SIGRed, la vulnerabilità risiede all’interno dell’implementazione DNS di Windows Server. La falla è classificata come CVE-2020-1350, riguarda Windows Server dalla release 2003 alla 2019 e presenta il massimo livello di criticità (10 su 10). Un exploit funzionante potrebbe propagarsi senza ostacoli all’interno di un network di PC vulnerabili, caratteristica che rende SIGRed pericolosa quanto “mostri” del calibro di EternalBlue e BlueKeep.
SIGRed permette di generare un errore di buffer overflow con una query DNS di tipo SIG di dimensioni superiori alla norma (64KB), così da prendere il controllo del sistema DNS usato da un’organizzazione e quindi compromettere l’intero network interno. Peggio ancora, i ricercatori di Check Point sono riusciti a sfruttare il bug con un semplice browser Web come Internet Explorer ed Edge, che diversamente dalla concorrenza (Firefox, Chrome) permettono richieste di tipo DNS tramite la porta HTTP 53.
SIGRed è una vulnerabilità in circolazione da 17 anni, sottolineano gli esperti di Check Point, ed è altamente probabile che la sua esistenza risulti nota anche ai cracker e cyber-criminali più abili e capaci. Microsoft ha già distribuito una patch correttiva come parte del Patch Tuesday di luglio 2020, invitando gli admin che non possono ancora installare l’update a modificare il Registro di Windows con parametri DNS personalizzati.