Stel dat een hacker zonder je medeweten je e-mail kon lezen voordat het naar je werd doorgestuurd

Gepubliceerd op 15 juli 2020 om 10:49
Stel dat een hacker zonder je medeweten je e-mail kon lezen voordat het naar je werd doorgestuurd

Stel je voor wat er zou kunnen gebeuren als iemand zonder je medeweten elke e-mail van je kon onderscheppen en lezen voordat het naar je werd doorgestuurd.

Je nieuwe bankpas, je nieuw rijbewijs of paspoort, brieven van je arts, aanvraagformulieren enz. Het is niet moeilijk om te begrijpen wat cybercriminelen hier voor schade mee zouden kunnen aanrichten door uw e-mail te kopiëren of ermee te knoeien.

Organisatie

Stel je nu voor dat een hacker hetzelfde zou kunnen doen op het netwerk van je organisatie, door de e-mails en het netwerkverkeer van gebruikers te onderscheppen en te manipuleren, services niet beschikbaar te maken, de inloggegevens van gebruikers te verzamelen en meer.

In feite zouden ze de volledige controle over uw IT kunnen krijgen.

Windows DNS Server

Onderzoekers van Check Point ontdekten onlangs een kritieke kwetsbaarheid waardoor een aanvaller precies dit zou kunnen doen in de 'Windows DNS Server', een essentieel onderdeel van elke Windows-netwerkomgeving.

Check Point rapporteerde het aan Microsoft, die het erkende als een kritieke kwetsbaarheid (CVSS-score 10.0 - wat de hoogst mogelijke ernst aangeeft) en er snel een patch voor uitbracht.

We raden gebruikers ten zeerste aan om de patch van 2003 tot 2019 op hun getroffen Windows DNS Server-versies toe te passen om misbruik van dit beveiligingslek te voorkomen.

Onder de loep

Laten we eens nader bekijken wat DNS is en waarom deze nieuw ontdekte kwetsbaarheid zo cruciaal is.

DNS

DNS maakt deel uit van de wereldwijde internetinfrastructuur die de bekende website namen die we allemaal gebruiken, vertaalt in de reeks getallen die computers nodig hebben om die website te vinden of een e-mail te sturen.

Het is het 'adresboek' van internet. Wanneer u een domeinnaam heeft - bijvoorbeeld www.checkpoint.com - bepaalt u via een 'DNS-record' naar welk nummer die naam wordt omgezet.

Maar wat gebeurt er als iemand in staat is om te knoeien met de DNS-records die het netwerk van uw organisatie gebruikt, om de adressen te wijzigen waaraan een websitenaam is gekoppeld?

Dan wordt het net als het eerder genoemde voorbeeld, een cruciaal beveiligingsprobleem van een hacker die al uw e-mail onderschept en kan misbruiken.

Om te benadrukken hoe gevaarlijk een beveiligingsprobleem DNS-manipulatie kan zijn, heeft het Amerikaanse ministerie van Binnenlandse Veiligheid in 2019 een zeldzame noodrichtlijn uitgevaardigd waarin alle Amerikaanse federale civiele instanties werden bevolen om de inloggegevens voor hun internet domein records te beveiligen, als reactie op een internationaal domein naamsysteem (DNS) hack-campagne. 

De daders achter de campagne waren in staat om e-mail en andere inloggegevens te stelen van een aantal overheids- en particuliere entiteiten in het Midden-Oosten door de DNS-servers voor deze doelen te kapen, zodat al het e-mail- en VPN-verkeer werd omgeleid naar internetadressen beheerd door de aanvallers.

Server-versies 2003 tot en met 2019

De kwetsbaarheid die Check Point aan het licht bracht, stelt alle organisaties die Windows Server-versies 2003 tot en met 2019 gebruiken aan exact dezelfde risico's bloot.

Bij misbruik, zou een hacker 'Domain Administrator-rechten' kunnen krijgen over de servers en de volledige bedrijfsinfrastructuur.

De fout zit in de manier waarop de Windows DNS-server een inkomende DNS-query 'parses', en in de manier waarop deze een antwoord op een doorgestuurde DNS-query 'parses'.

Als het wordt geactiveerd door een kwaadaardige DNS-query (zoals beschreven in het rapport), veroorzaakt het een op 'heap-based' bufferoverloop, waardoor de hacker de controle over de server kan overnemen.

Exploitkits

Om het probleem nog erger te maken, beschreef Microsoft het als 'wormable', wat betekent dat een enkele exploit een kettingreactie kan veroorzaken waardoor aanvallen zich van kwetsbare machine naar kwetsbare machine kunnen verspreiden zonder menselijke tussenkomst.

Aangezien DNS-beveiliging niet iets is waar veel organisaties op letten of strakke controles voor hebben, betekent dit dat een enkele gecompromitteerde machine een 'super spreader' kan veroorzaken, waardoor de aanval zich binnen enkele minuten na de eerste exploit binnen het netwerk van een organisatie kan verspreiden.

Microsoft

Op 19 mei maakte Check Point de onderzoeksresultaten aan Microsoft bekend, waarop Microsoft snel reageerde. De patch is vanaf dinsdag 14 juli verkrijgbaar.

Advies Checkpoint

We raden gebruikers ten zeerste aan om hun getroffen Windows DNS-servers te patchen om misbruik van dit beveiligingslek te voorkomen. 

We zijn van mening dat de kans op misbruik van dit beveiligingslek groot is, omdat standaard hackingtools al voldoende zijn om deze bug te misbruiken, wat betekent dat een hacker ook dezelfde bronnen zou kunnen vinden.

Bovendien hebben sommige internetproviders (ISP's) mogelijk zelfs hun openbare DNS-servers ingesteld als WinDNS.

SIG Red Resolving Your Way Into Domain Admin Exploiting A 17 Year Old Bug In Windows DNS Servers
PDF – 1,4 MB 608 downloads

Bron: checkpoint

Gerelateerde berichten