CISA warnt: Update gegen kritische Windows Server-Lücke SIGRed zügig anwenden
Admins sollten das Update gegen CVE-2020-1350 vom MS-Patchday so bald wie möglich einspielen. Die US-Behörde CISA warnt vor der Gefahr.
(Bild: Silver Wings SS / Shutterstock.com)
Die US-Behörde für Cybersicherheit CISA hat am gestrigen Donnerstag eine Notfallrichtlinie (Emergency Directive) veröffentlicht, in der sie sämtliche US-Bundesbehörden dazu anhält, innerhalb von 24 Stunden Schutzmaßnahmen gegen die kritische Sicherheitslücke SIGRed/CVE-2020-1350 zu treffen.
Microsoft hat im Rahmen des Patchdays am vergangenen Dienstag Sicherheitsupdates gegen die Lücke veröffentlicht, die via Windows Update und Co. ausgeliefert wurden, je nach Konfiguration aber auch manuell installiert werden müssen.
Die Lücke müsse sehr ernst genommen werden, schreibt die CISA in ihrem Blogeintrag zur EMERGENCY DIRECTIVE (ED 20-03). Zwar habe man bislang noch keine aktiven Exploits beobachtet; es sei aber wohl nur eine Frage der Zeit, bis Exploit-Code vorliege.
In einem Tweet empfiehlt die CISA auch privaten Unternehmen, rasch zu handeln. Ein Ratschlag, den Admins in Unternehmen angesichts des hohen Gefahrenpotenzials auch hierzulande beherzigen sollten. Angreifbar sind (versionsabhängig) Windows Server, die als DNS-Server konfiguriert sind.
Absicherung in zwei Stufen
Die US-Behörden, so heißt es in CISAs Emergency Directive zu CVE-2020-1350, sollten im ersten Schritt alle als DNS-Server konfigurierten Windows Server entweder mit dem zum Patchday veröffentlichten Update oder temporär mit einem manuellen, von Microsoft empfohlenen Workaround in Gestalt einer Registry-Anpassung schützen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
Bis spätestens zum 24. Juli sollen sie das Update dann auch auf die übrigen Systeme anwenden, auf denen Windows Server läuft. Der Registry-Workaround sollte dann möglichst wieder entfernt und durch die Aktualisierung ersetzt werden.
Weitere Informationen zu Lücke und Updates
SIGRed steckt in Windows DNS Server, Microsofts Implementation des Domain Name System (DNS), und betrifft mehrere Windows Server-Versionen. Der Sicherheitslücke wurde der höchstmögliche CVSS-Score 10.0 ("Critical") zugewiesen. Sie könnte von entfernten Angreifern ohne Authentifizierung mittels präparierter Anfragen missbraucht werden, um beliebigen Code auf dem Server auszuführen und ihn letztlich vollständig zu kompromittieren.
Die Wahrscheinlichkeit eines Exploits schätzt auch Microsoft selbst als recht hoch ein ("Exploitation more likely"). Die Lücke sei außerdem "wormable"; eingeschleuste Malware könnte sich also (auch ohne Nutzerinteraktion) wurmartig im Netzwerk weiterverbreiten.
Weitere Informationen zur Lücke , eine Übersicht über die betroffenen Server-Ausgaben, Infos zum temporären Workaround sowie Links zu weiterführenden Supportartikeln sind Microsofts Security Advisory zu entnehmen:
Weitere Informationen zu den am Patch Tuesday veröffentlichten Updates finden Sie in dieser Meldung:
fgfgfdgfd
Update 17.07.20, 15:50: Kleine Textkorrektur (falscher Wochentag) im ersten Absatz. (ovw)
