Avviata da Microsoft la distribuzione della patch in grado di risolvere una grave vulnerabilità battezzata SIGRed (CVE-2020-1350) che interessa pressoché tutte le versioni di Windows Server in circolazione. Riguarda la componente DNS Server e il relativo protocollo impiegato per le comunicazioni online.
SigRed: una vulnerabilità quasi maggiorenne
Se sfruttata in modo efficace, attivata da una risposta DNS malevola che porta a una condizione di buffer overflow, permette a un malintenzionato di ottenere il controllo non solo sul PC attaccato, ma sull’intera infrastruttura di rete in uso nell’organizzazione. La falla è presente nel codice delle piattaforme da oltre 17 anni, dunque non è da escludere la possibilità che in passato qualcuno l’abbia scoperta e forzata mettendo a repentaglio la sicurezza e la privacy degli utenti nonché i dati trasmessi o ricevuti: dalle email al traffico di rete, fino alle credenziali di accesso ai servizi.
Di seguito le parole di Sagi Tzaik, ricercatore di Check Point, team che ha scoperto il problema nel mese di maggio segnalandolo al gruppo di Redmond così che potesse risolverlo. Dal canto suo la software house ha garantito che non si hanno notizie di attacchi perpetrati facendo leva sulla vulnerabilità che comunque ha ottenuto il massimo rating possibile (10) nella scala Common Vulnerability Scoring System che ne attesta la pericolosità.
Un attacco DNS Server è cosa molto seria. Nella maggior parte dei casi pone chi lo esegue a un centimetro di distanza dal poter compromettere l’intera organizzazione. Questa vulnerabilità è rimasta nel codice di Microsoft per oltre 17 anni. Se l’abbiamo scoperta noi, non è impossibile pensare che in passato l’abbiano fatto altri.
È la terza patch pubblicata questo mese da Microsoft per altrettanti seri problemi di sicurezza scovati nei sistemi operativi gestiti. Prima di questa, all’inizio di luglio, sono state corrette le falle CVE-2020-1425 e CVE-2020-1457 riscontrate in Windows 10 e nelle edizioni Server della piattaforma, in grado di consentire l’esecuzione arbitraria di codice da remoto e la sottrazione delle informazioni.