Windows DNS-palvelimen haavoittuvuus mahdollistaa komentojen suorittamisen etänä | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Windows DNS-palvelimen haavoittuvuus mahdollistaa komentojen suorittamisen etänä

10. maaliskuuta 2021 klo 14.37

Microsoftin maaliskuun 2021 päivityskoosteessa on julkaistu korjaava päivitys Windows DNS Server -komponentissa olevaan remote code execution (RCE) -haavoittuvuuteen. Hyökkäyksen suorittaminen vaatii DNS-kyselyn suorittamisen haavoittuvalle palvelimelle.

Windows DNS Server -komponentti on Microsoftin Windows-palvelinten oletussovellus nimipalvelujen tarjoamiseen palvelinympäristöissä. Kyseinen komponentti asentuu oletuksena AD DS -roolien asennuksen yhteydessä, joten haavoittuva komponentti on erittäin todennäköisesti käytössä lähes kaikissa toimialueympäristöissä. Haavoittuvuus koskee kuitenkin kaikkia DNS Server -roolissa olevia palvelimia. Haavoittuvuus koskee kaikkia tuettuja palvelinversioita Windows Server 2008 SP2:sta Windows Server 20H2:een (tarkka listaus alempana).

Hyökkäyksen toteuttaminen tapahtuu muokatulla DNS-kutsulla. Tämän vuoksi mikä tahansa haavoittuva palvelin voi olla väärinkäytettävissä kaikista lähteistä, joista sille voi lähettää DNS-kyselyitä. Tämän vuoksi mahdollisesti internetiin auki olevat DNS-palvelimet tulee priorisoida välittömästi päivitettäväksi.

Haavoittuvuuteen liittyen ei ole julkaistu hyväksikäyttökoodia ja Microsoftin lausunnon mukaan aktiivisia väärinkäytöksiä ei ole havaittu toistaiseksi. Kyberturvallisuuskeskuksella ei myöskään ole havaintoja väärinkäytöksistä haavoittuvuuteen liittyen.

Jos päivitys ei ole mahdollinen, ongelmaa voi rajata toistaiseksi ottamalla käyttöön Secure Zone Updates -toiminnon. Tämä ei kuitenkaan estä toimialueen sisältä tulevia haitallisia DNS-kyselyitä (esim. haittaohjelmalla saastunut työasema). Toissijaisesti hyökkäyspinta-alaa voi pyrkiä rajaamaan palomuuritoiminnoin.

Haavoittuvuuden kohde

  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)
  • Windows Server, version 20H2 (Server Core Installation)

Mistä on kysymys?

  • Päivityksen asentaminen
  • Secure Zone Updates -toiminnon käyttöönotto
  • Ulkoisin palomuuritoiminnoin ongelman rajaaminen tai estäminen
Microsoft: Windows DNS Server Remote Code Execution Vulnerability CVE-2021-26877 (ulkoinen linkki)
Microsoft: Windows DNS Server Remote Code Execution Vulnerability CVE-2021-26893 (ulkoinen linkki)
Microsoft: Windows DNS Server Remote Code Execution Vulnerability CVE-2021-26894 (ulkoinen linkki)
Microsoft: Windows DNS Server Remote Code Execution Vulnerability CVE-2021-26895 (ulkoinen linkki)
Microsoft: Windows DNS Server Remote Code Execution Vulnerability CVE-2021-26897 (ulkoinen linkki)
McAfee: Seven Windows Wonders – Critical Vulnerabilities in DNS Dynamic Updates (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.