Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Bedenkingen rond Sigred Microsoft dns server bug

Bug

Er zit een zeer gevaarlijke bug genaamd Sigred in de dns server van alle Microsoft server-versies. De ouderwetse buffer overflow is ook van buitenaf te misbruiken. Dus: patch zo snel mogelijk of gebruik op zijn minst de workaround.

We weten dit door het researchteam van Check Point, die de bug zoals het hoort al bijna een maand geleden aan Microsoft meldde. Nice work! Zonder twijfel wordt dit de basis van de zoveelste plaag van 2020, een worm die het internet zal afgaan en allerlei ongein uithaalt. En als we niet uitkijken, wordt het een digitale variant van Covid19.

Wat is eigenlijk het probleem en wat maakt het zo gevaarlijk? Kris Buytaert zou zeggen 'Everything is a freaking dns problem'. Dns is echt het hart van quasi alles wat we op een tcp/ip-netwerk doen.

Active directory

In onze Microsoft-monocultuur die veel it-parken vandaag zijn, gebruik je overal de active directory (ad) als interne directory. Als je ad degelijk wil draaien, gebruik je best die op de interne ad-server om miserie te voorkomen. Resultaat: elke gebruiker binnen je netwerk kan deze exploit triggeren. Ik denk zelfs dat het zelfs ook van buitenaf kan. Bijvoorbeeld door een reverse lookup te laten uitvoeren, door een server met een service die van buitenaf bereikbaar is, maar zijn queries naar de interne dns stuurt of door bijvoorbeeld een spf-record door de interne exchange te laten opzoeken.

Het leert ons ook dat Microsoft, ondanks twintig jaar beloftes en ook veel inspanningen om structureel software-by-design en secure development te gaan doen, nog altijd massa's securitylijken in de kast heeft.

Structureel zorgen grote dns-players als Google en Cloudfare er nu voor dat dit soort te grote, valse dns-pakketten bij de bron gefilterd worden. De meeste bedrijven sturen hun dns-request immers door naar 8.8.8.8 of 1.1.1.1. Dus daar kan je mijns inziens al een paar dingen oplossen.

Dus voor iedereen die ergens een Microsoft ad of dns-server staan heeft: patch zo snel mogelijk alles. Als dit niet direct kan, kan je als workaround in de registry de grootte van de dns-pakketten beperken.

Jan Guldentops, it, network & security consultant en researcher

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-07-15T11:20:00.000Z Jan Guldentops
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.