Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Microsoft waarschuwt voor 'wormable' kwetsbaarheid in Windows DNS Server

14-07-2020, 22:43 door Tintin and Milou, 8 reacties
Windows DNS Server bevat een zeventien jaar oude kritieke kwetsbaarheid, die als wormable is geclassificeerd en de hoogst mogelijke risicoscore heeft. Administrators dienen Windows Server-systemen zo snel mogelijk te updaten.

Microsoft meldt dat het gaat om een remote code execution-kwetsbaarheid die aanwezig is Windows Server-versies 2003 tot en met 2019.

https://tweakers.net/nieuws/169740/microsoft-waarschuwt-voor-wormable-kwetsbaarheid-in-windows-dns-server.html
https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/

Alternatief, indien je de patch niet snel wil of kan installeren:
Workaround
To work around this vulnerability, make the following registry change to restrict the size of the largest inbound TCP-based DNS response packet allowed:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

TcpReceivePacketSize

Value = 0xFF00

Note You must restart the DNS Service for the registry change to take effect.

The Default (also max) Value = 0xFFFF
The Recommended Value = 0xFF00 (255 bytes less than the max)
After the workaround is implemented, a Windows DNS server will be unable to resolve DNS names for its clients when the DNS response from the upstream server is larger than 65280 bytes.

https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability
Reacties (8)
15-07-2020, 00:32 door Anoniem
Is dit het resultaat van het blind implementeren van de Berkley TCP stack die Microsoft overgenomen heeft?
15-07-2020, 07:43 door [Account Verwijderd]
Hoe verantwoordelijk is het nog om als security professional een workaround aan te bevelen? Keer op keer blijkt dat deze vaak niet voldoende zijn en gebruikt worden als excuus om niet de noodzakelijke updates te installeren. Updaten is wat mij betreft de enige goede optie en als je daar niet toe in staat bent moet je zorgen dat je dat wel bent, nu en in de toekomst.

Stelling: We moeten stoppen met het aanbevelen van workarounds en duidelijk maken dat (beveiligings)updates installeren de enige juiste keuze is.
15-07-2020, 08:18 door Anoniem
Door iatomory: Hoe verantwoordelijk is het nog om als security professional een workaround aan te bevelen? Keer op keer blijkt dat deze vaak niet voldoende zijn en gebruikt worden als excuus om niet de noodzakelijke updates te installeren. Updaten is wat mij betreft de enige goede optie en als je daar niet toe in staat bent moet je zorgen dat je dat wel bent, nu en in de toekomst.

Stelling: We moeten stoppen met het aanbevelen van workarounds en duidelijk maken dat (beveiligings)updates installeren de enige juiste keuze is.

Work around is denk alleen geadviseerd wanneer direct updaten/herstarten niet mogelijk is, dus als tijdelijke oplossing maar met in achterhoofd dat updaten alsnog zo snel mogelijk daarna moet, het is geen oplossing.

Meeste bedrijven draait de Windows DNS Server op Domain Controllers, welke vaak ook verdeeld zijn in een "cluster", oftewel updaten/herstarten moet geen probleem zijn.

Voorbeeld bij ons:
Wij hebben gister avond MECM (SCCM) ingesteld dat alle DNS Servers vannacht moesten updaten met een herstart.
Vanmorgen controle en alles is goed verlopen.
Niemand die er last van heeft gehad.
15-07-2020, 08:30 door Anoniem
Door iatomory: Hoe verantwoordelijk is het nog om als security professional een workaround aan te bevelen?
Je bent als "security professional" een adviseur, niet een beslisser. Je geeft dus aan wat de mogelijkheden zijn maar de uiteindelijke beslissing is niet aan jou.

Keer op keer blijkt dat deze vaak niet voldoende zijn en gebruikt worden als excuus om niet de noodzakelijke updates te installeren. Updaten is wat mij betreft de enige goede optie en als je daar niet toe in staat bent moet je zorgen dat je dat wel bent, nu en in de toekomst.
Je kan jezelf aanrekenen dat je kennelijk niet goed genoeg geadviseerd hebt, maar dat geeft je niet het recht om op de stoel van de beslisser te gaan zitten. Ik snap wel dat je het probeert, microsoft zelf doet het ook, vaak zelfs, door bijvoorbeeld de mogelijkheid van updates installeren uitstellen (want je hebt nu wat anders te doen en het werk moet wel gewoon op tijd af) steeds verder te beperken en zelfs weg te nemen. Waarmee ze zichzelf belangrijker vinden dan hun klanten. Ze zijn niet de enige die zo handelen maar onderhand begrijp ik echt niet meer dat mensen en bedrijven zich zo laten betuttelen. En al helemaal niet waarom we niet veel luider om betere software met minder defecten roepen, en daar de fabrikanten op uitzoeken.

Stelling: We moeten stoppen met het aanbevelen van workarounds en duidelijk maken dat (beveiligings)updates installeren de enige juiste keuze is.
Denk het niet. Het is nog altijd beter software te gebruiken die geen updates nodig heeft, die je ook wel overwegend veilig kan gebruiken zonder eerst een firewall en een antivirus te installeren, en zo verder. En aangezien er best wel gradaties te zien zijn in hoeveel updates verschillende softwarepakketten nodig hebben, en hoe groot de schade is als dat zo is, is een goede selectie waarin je de aspecten van security en hoeveelheid te verwachten nodige updates vooraf meeweegt een belangrijke eerste stap. En dus ook het heroverwegen van je selectiekeuzes als de updates-vereisende problemen groter zijn en/of vaker voorkomen dan gedacht.

Dus nee, "de enige juiste keuze" is het niet. Want je neemt daarmee impliciet de keuze van de software die updates nodig heeft als in beton gegoten aan. En daar moeten we vanaf, want we willen juist dat er betere software die minder onderhoud nodig heeft op de markt komt.
15-07-2020, 10:47 door Tintin and Milou
Door iatomory: Hoe verantwoordelijk is het nog om als security professional een workaround aan te bevelen? Keer op keer blijkt dat deze vaak niet voldoende zijn en gebruikt worden als excuus om niet de noodzakelijke updates te installeren. Updaten is wat mij betreft de enige goede optie en als je daar niet toe in staat bent moet je zorgen dat je dat wel bent, nu en in de toekomst.

Stelling: We moeten stoppen met het aanbevelen van workarounds en duidelijk maken dat (beveiligings)updates installeren de enige juiste keuze is.
Omdat het het helaas blijft dat Microsoft soms wat issues heeft met Updates? Een registry key doorvoeren gaat dan een stuk gemakkelijker en is minder risicovol?

De Patch installeren is natuurlijk het beste, maar je moet dit wel kunnen en mogen doen.
15-07-2020, 11:41 door Anoniem
Door Anoniem:
Denk het niet. Het is nog altijd beter software te gebruiken die geen updates nodig heeft, die je ook wel overwegend veilig kan gebruiken zonder eerst een firewall en een antivirus te installeren, en zo verder. En aangezien er best wel gradaties te zien zijn in hoeveel updates verschillende softwarepakketten nodig hebben, en hoe groot de schade is als dat zo is, is een goede selectie waarin je de aspecten van security en hoeveelheid te verwachten nodige updates vooraf meeweegt een belangrijke eerste stap. En dus ook het heroverwegen van je selectiekeuzes als de updates-vereisende problemen groter zijn en/of vaker voorkomen dan gedacht.
Als we de open-source optie "bind 9" vergelijken met de Microsoft DNS server dan moeten we helaas constateren dat
er in bind ook wel de nodige security problemen geweest zijn en er de nodige patches overheen gegaan zijn.
Kennelijk is het implementeren van het nogal complexe DNS protocol wel vaker aanleiding geweest tot problemen.
15-07-2020, 19:59 door [Account Verwijderd] - Bijgewerkt: 15-07-2020, 20:01
@Anoniem 08:30
Dat je hiermee op de stoel van een beslisser gaat zitten ben ik met je eens. Vanuit dat perspectief kan ik mij voorstellen dat je wel alle mogelijkheden wilt benoemen.
Het lijkt mij dan wel goed om nadrukkelijk te benoemen dat workarounds niet altijd werken of alle aanvallen tegen gaan, ondanks dat een leverancier anders wil beweren. Daarmee zijn workarounds toch een vorm van schijnveiligheid. Sterk adviseren tegen het gebruik van een workaround dus, maar wel blijven benoemen dat het als optie beschreven staat.

Ik kan mij overigens niet echt vinden in een antwoord als 'Microsoft heeft veel problemen met updates', dan moet je toch echt een stapje terug nemen en afvragen of je Microsoft nog wel als leverancier wilt hebben. Dat updates niet altijd uitgerold kunnen worden kan ik mij wel in vinden, al moet je wel bedenken dat je niet altijd het geluk hebt van een workaround. Zorgen dat je in de toekomst wel tijdig updates kan uitrollen lijkt mij dan van het grootste belang.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.