Onderzoekers van securitybedrijf Rapid7 hebben zo'n 40.000 Windows dns-servers gevonden waarvan poort 53, gebruikt voor dns, openstaat voor het internet. Windows dns-servers zouden niet aan het internet moeten zijn blootgesteld. Deze servers lopen risico om via een kritieke kwetsbaarheid in Windows DNS Server te worden aangevallen, hoewel de aanval ook is uit te voeren tegen Windows dns-servers die poort 53 niet hebben openstaan.

Gisterenavond bracht Microsoft een beveiligingsupdate voor de kwetsbaarheid uit, die wordt veroorzaakt door de manier waarop Windows DNS Server met dns-responses en -requests omgaat. Voor het uitvoeren van de aanval moet een aanvaller eerst een eigen kwaadaardige dns-server opzetten en ervoor zorgen dat de dns-server van het slachtoffer bij zijn server een dns-request doet. Vervolgens is het mogelijk om een dns-response te versturen die een heap-based buffer overflow veroorzaakt. Een aanvaller kan dan willekeurige code in de context van het Local System Account uitvoeren.

Voor de remote aanval waarbij geen interactie van gebruikers is vereist moet de aangevallen dns-server direct toegankelijk vanaf het internet zijn. Iets wat volgens Omri Herscovici van securitybedrijf Check Point, dat de kwetsbaarheid ontdekte, bijzonder is, aangezien in de meeste netwerken Windows DNS achter een firewall draait, zo laat de onderzoeker tegenover Wired weten.

Rapid7 voerde begin juli een scan uit op internet en vond ruim 41.000 Windows dns-servers die poort 53 hadden openstaan en zo aan het internet waren blootgesteld. Gisterenavond publiceerde het securitybedrijf een blogposting over het onderzoek en meldde dat op het moment van de publicatie twintig Fortune 500-bedrijven samen meer dan 250 Windows dns-servers hadden blootgesteld.

Er is echter ook een andere aanval mogelijk waarbij dns-servers achter de firewall kunnen worden aangevallen. Hiervoor volstaat het om iemand binnen de aangevallen organisatie een link in een e-mail te laten openen. Deze aanval werkt niet wanneer er gebruik wordt gemaakt van Mozilla Firefox, Google Chrome of andere Chromium-gebaseerde browsers. Wanneer de malafide link met Internet Explorer of Microsoft Edge wordt geopend werkt de aanval wel. Hoewel het marktaandeel van deze browsers steeds verder afneemt, zijn het wel browsers die met name binnen organisaties worden gebruikt.

In een videodemonstratie laat Check Point zien hoe een dns-server crasht nadat een link in een malafide mail wordt geopend. Jake Williams, die eerder voor de NSA werkte en oprichter van securitybedrijf Rendition Infosec is, stelt tegenover Wired dat de phishingaanval waarschijnlijk is aan te passen. Zo wordt het mogelijk voor een aanvaller om de aangevallen dns-server over te nemen in het grootste deel van de netwerken die geen uitgaand verkeer op hun firewall blokkeren. Microsoft omschreef het beveiligingslek als "wormable", maar Williams verwacht niet dat een computerworm misbruik van de kwetsbaarheid zal maken. Hij verwacht dat het lek bij meer gerichte aanvallen zal worden misbruikt.