Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Windows DNS-palvelimen haavoittuvuus mahdollistaa komentojen suorittamisen etänä

Haavoittuvuus8/2021CVSS 9.8

Microsoftin maaliskuun 2021 päivityskoosteessa on julkaistu korjaava päivitys Windows DNS Server -komponentissa olevaan remote code execution (RCE) -haavoittuvuuteen. Hyökkäyksen suorittaminen vaatii DNS-kyselyn suorittamisen haavoittuvalle palvelimelle.

Windows DNS Server -komponentti on Microsoftin Windows-palvelinten oletussovellus nimipalvelujen tarjoamiseen palvelinympäristöissä. Kyseinen komponentti asentuu oletuksena AD DS -roolien asennuksen yhteydessä, joten haavoittuva komponentti on erittäin todennäköisesti käytössä lähes kaikissa toimialueympäristöissä. Haavoittuvuus koskee kuitenkin kaikkia DNS Server -roolissa olevia palvelimia. Haavoittuvuus koskee kaikkia tuettuja palvelinversioita Windows Server 2008 SP2:sta Windows Server 20H2:een (tarkka listaus alempana).

Hyökkäyksen toteuttaminen tapahtuu muokatulla DNS-kutsulla. Tämän vuoksi mikä tahansa haavoittuva palvelin voi olla väärinkäytettävissä kaikista lähteistä, joista sille voi lähettää DNS-kyselyitä. Tämän vuoksi mahdollisesti internetiin auki olevat DNS-palvelimet tulee priorisoida välittömästi päivitettäväksi.

Haavoittuvuuteen liittyen ei ole julkaistu hyväksikäyttökoodia ja Microsoftin lausunnon mukaan aktiivisia väärinkäytöksiä ei ole havaittu toistaiseksi. Kyberturvallisuuskeskuksella ei myöskään ole havaintoja väärinkäytöksistä haavoittuvuuteen liittyen.

Jos päivitys ei ole mahdollinen, ongelmaa voi rajata toistaiseksi ottamalla käyttöön Secure Zone Updates -toiminnon. Tämä ei kuitenkaan estä toimialueen sisältä tulevia haitallisia DNS-kyselyitä (esim. haittaohjelmalla saastunut työasema). Toissijaisesti hyökkäyspinta-alaa voi pyrkiä rajaamaan palomuuritoiminnoin.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)
  • Windows Server, version 20H2 (Server Core Installation)

Ratkaisu- ja rajoitusmahdollisuudet

  • Päivityksen asentaminen
  • Secure Zone Updates -toiminnon käyttöönotto
  • Ulkoisin palomuuritoiminnoin ongelman rajaaminen tai estäminen