На днях компания Microsoft выпустила апдейт, закрывающий уязвимость DNSSEC затрагивающую DNS-клиента, входящего в состав Windows 8, Windows 10, Windows Server 2012 и Windows Server 2016.
Ошибка, отслеживаемая как CVE-2017-11779, влияет на файл DNSAPI.dll, основной файл Windows, который обрабатывает DNS-запросы и получает ответы от DNS-сервера.
Проблема затрагивает только Windows 8 или более позднюю версию, поскольку недостаток заключается в том, как файл DNSAPI.dll обрабатывает DNS-запросы, выполненные по протоколу DNSSEC, более безопасную версию классического протокола DNS. Windows 8 была первой версией Windows, поддерживающей этот протокол.
Ошибка позволяет выполнять вредоносный код с привилегиями SYSTEM
Обнаруженный исследователем безопасности BishopFox Ником Фрименом, ошибка позволяет злоумышленнику отправлять неверные ответы DNS на компьютеры Windows и выполнять код в контексте приложения, которое произвело запрос.
Чтобы использовать ошибку, злоумышленнику придется настроить вредоносный DNS-сервер и отравить локальную сеть цели, чтобы захватить DNS-трафик. В этот момент злоумышленнику нужно будет только ждать, когда приложение с правами администратора или системного уровня сделает запрос DNS.
Это не проблема, так как большинство современных приложений выполняют DNS-запросы, и большинство пользователей используют учетную запись уровня администратора Windows для повседневной работы.
Кроме того, одна и та же DLL также обрабатывает DNS-запросы, сделанные многими основными службами Windows, поэтому в какой-то момент времени злоумышленник в конечном итоге получит неправильный ответ DNS, обработанный одной из этих основных служб, которая будет выполнять вредоносный код добавлены внутри с привилегиями на системном уровне.
Если это не так плохо, исследователи объясняют, что основная служба кэширования Windows DNS, использующая файл DNSAPI.dll, автоматически перезапустится, если произойдет сбой. Это позволяет злоумышленнику получить неограниченные попытки использовать ошибку до тех пор, пока не получит доступ к системному уровню.
Атакуру нужен прямой путь к цели
Единственной хорошей новостью для пользователей является то, что неправильные пакеты DNS, необходимые для использования этой ошибки, не могут проходить через легитимные DNS-серверы, потому что они будут удалены.
Это означает, что злоумышленник должен находиться в той же сети, что и жертва (например: кафе, работа Wi-сеть Wi-Fi, другие сети ЛВС), или они должны обмануть пользователей, чтобы использовать вредоносные DNS-серверы в качестве параметров по умолчанию в своей ОС (что требует серьезных социальных инженерные навыки).
Microsoft исправила эту ошибку с обновленной частью патча в октябре 2017 года, выпущенной ранее сегодня. Исследователи BishopFox также опубликовали видео, в котором подробно изложены их результаты. Их технический отчет по CVE-2017-11779 доступен здесь.