Bug Windows vechi de 17 ani, remediat săptămâna aceasta

Etichetat cu risc major de securitate, bug ul SigRed afectează o componentă Windows esențială și permite infectarea PC-urilor redirecționând conexiunile spre alte adrese IP.

Bug-ul localizat în componenta Windows Domain Name System Security Extensions (DNSSEC), responsabilă în mod normal cu întărirea funcției de autentificare DNS, poate fi folosit de hackeri pentru a intercepta solicitările pentru decodare DNS, substituind adresa IP folosită pentru stabilirea conexiunii.

Cât de periculos este noul bug Windows

Spre exemplu, atunci când tastezi adresa unui website legitim folosit în mod normal pentru home banking, ai putea fi redirecționat fără să-ți dai seama către o versiune contrafăcută a acestuia, unde-ți vor fi furate datele de autentificare chiar pe măsură ce le tastezi. Simultan, hackeri oportuniști vor folosi datele tale pentru a se autentifica pe adevăratul portal de home banking, realizând transferuri bancare în numele tău. Alternativ, datele cardului tău bancar pot fi folosite pentru a face cumpărături online, paguba fiind sesizată mult mai târziu.

Sistemul de adrese DNS seamănă cu o agendă telefonică, în care adresa fiecărui website pe care o tastezi în web browser este potrivită cu o adresă IP în formă numerică. Mai mult decât atât, fiecărui computer i se atribuie o adresă IP unică prin intermediul furnizorului său de rețea, iar DNS-ul traduce numele de domenii în adrese IP. Prin analogie, este ca și cum ai căuta în agenda telefonică numele celui mai bun prieten, dar cineva ți-a schimbat numărul salvat în telefon cu cel al altei persoane.

Exploit-ul SigRed nu doar că exploatează Windows DNS, dar este și un bug „wormable”, ceea ce înseamnă că se poate răspândi de la un computer la altul prin intermediul DNS.

O problemă majoră, neobservată timp de 17 ani?

Deși este o problemă majoră pentru securitatea platformei Windows, bug-ul SigRed pare că a trecut complet neobservat timp de 17 ani, orice hacker care ar fi știut de existența sa având o unealtă puternică pentru compromiterea oricărui PC bazat pe Windows.

Și mai grav este că vulnerabilitatea poate fi exploatată fără nicio acțiune întreprinsă de către utilizatorul vizat, vizita unui hacker experimentat putând trece complet neobservată.

Totuși pentru ca atacul să funcționeze de la distanță, serverul DNS țintă ar trebui să fie expus direct pe internet. În schimb, în majoritatea cazurilor serverul Windows DNS se află în spatele unui firewall. Cu toate acestea, dacă un hacker poate obține acces la WiFi-ul sau LAN-ul unei companii, poate totuși să preia serverul.

De asemenea, în contextul pandemiei COVID-19, orice companie care a făcut modificări arhitecturale în rețelele administrate, pentru a facilita conectarea de la distanță a angajaților care lucrează de acasă, ar fi putut crește în mod involuntar expunerea la astfel de atacuri.