I ricercatori di Check Point Software Technologies hanno individuato una falla di sicurezza nel domain name system (DNS) di Windows, l’implementazione dei servizi DNS forniti da Microsoft nei sistemi operativi Windows. Questa falla consentirebbe a un hacker di effettuare query DNS dannose al server DNS di Windows e di ottenere un’esecuzione arbitraria del codice che potrebbe portare alla violazione dell’intera infrastruttura. La vulnerabilità critica, denominata SigRed dai ricercatori di Check Point, riguarda le versioni dei server Windows del periodo 2003-2019. Microsoft ha identificato la falla di sicurezza e ha pubblicato una patch (CVE-2020-1350) a cui è stato assegnato il punteggio di rischio più alto possibile (CVSS:10.0).

I server DNS sono presenti in ogni organizzazione e, se sfruttati, darebbero a un hacker i privilegi admin di dominio sul server, consentendogli di intercettare e manipolare le e-mail degli utenti e il traffico di rete, rendere i servizi non disponibili, raccogliere le credenziali degli utenti e altro ancora. In questo modo, l’hacker potrebbe acquisire il controllo completo di un’azienda IT.

Microsoft descrive una vulnerabilità di questo tipo come “wormable”, il che significa che un singolo exploit può avviare una reazione a catena che permette agli attacchi di diffondersi da un dispositivo vulnerabile all’altro, senza richiedere alcuna interazione umana. Ciò significa che una singola macchina compromessa potrebbe essere un “super distributore”, consentendo all’attacco di diffondersi in tutta la rete di un’organizzazione entro pochi minuti dal primo exploit.

La patch per la vulnerabilità è già disponibile dal 14 luglio. Check Point esorta vivamente gli utenti Windows a patchare i loro server DNS al fine di prevenire lo sfruttamento di questa vulnerabilità. La probabilità che questa vulnerabilità venga sfruttata è alta, in quanto i ricercatori hanno trovato internamente tutti gli elementi necessari per sfruttare questo bug. Ciò significa che anche un hacker determinato potrebbe attingere alle stesse risorse.

“Una violazione del server DNS è una cosa molto seria. La maggior parte delle volte, proietta l’aggressore a un passo dal violare l’intera azienda. Sono pochissimi i tipi di vulnerabilità di questo tipo. Ogni impresa, grande o piccola, che utilizzi un’infrastruttura Microsoft, è esposta a grandi rischi a livello di sicurezza, se lasciata senza patch. Il rischio maggiore sarebbe una completa violazione dell’intera rete aziendale. Questa tipologia di vulnerabilità è presente nel codice Microsoft da più di 17 anni; quindi, se l’abbiamo trovata noi, non è impossibile supporre che qualcun altro l’abbia già trovata” ha dichiarato David Gubiani, Regional Director SE EMEA Southern di Check Point.