{"id":24721,"date":"2020-07-17T10:22:22","date_gmt":"2020-07-17T08:22:22","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24721"},"modified":"2020-07-20T11:16:29","modified_gmt":"2020-07-20T09:16:29","slug":"cve-2020-1350-dns-rce","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/cve-2020-1350-dns-rce\/24721\/","title":{"rendered":"CVE-2020-1350: Gef\u00e4hrliche Schwachstelle im DNS von Windows Server"},"content":{"rendered":"<p>Microsoft hat die Schwachstelle CVE-2020-1350 in Windows DNS gemeldet. Zun\u00e4chst die schlechte Nachricht: Die Schwachstelle erhielt auf der CVSS-Skala die Note 10, d. h., dass es sich um eine gef\u00e4hrliche und kritische Sicherheitsl\u00fccke handelt. Die gute Nachricht: Cyberkriminelle k\u00f6nnen sie nur ausnutzen, wenn das System im DNS-Server-Modus l\u00e4uft. Mit anderen Worten bedeutet das, dass die Anzahl der potenziell anf\u00e4lligen Computer relativ gering ist. Au\u00dferdem hat das Unternehmen bereits <a href=\"https:\/\/portal.msrc.microsoft.com\/de-de\/security-guidance\/advisory\/CVE-2020-1350\" target=\"_blank\" rel=\"noopener nofollow\">Patches und eine Problemumgehung ver\u00f6ffentlicht<\/a>.<\/p>\n<h2>Um was handelt es sich bei der Sicherheitsl\u00fccke und wie gef\u00e4hrlich ist sie?<\/h2>\n<p>Mit CVE-2020-1350 kann ein Cyberkrimineller DNS-Server, die Windows Server verwenden, zur Remote-Ausf\u00fchrung von b\u00f6sartigen Codes zwingen. Demnach geh\u00f6rt die Schwachstelle zur <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-code-execution-rce\/\" target=\"_blank\" rel=\"noopener\">RCE-Klasse<\/a>. Um CVE-2020-1350 auszunutzen, muss man nur eine speziell pr\u00e4parierte Anfrage an den DNS-Server senden.<\/p>\n<p>Der Code, der als \u201eLocalSystem\u201c ausgef\u00fchrt wird, verf\u00fcgt somit \u00fcber umfangreiche Berechtigungen auf dem lokalen Computer und agiert auch im Netzwerk. Dar\u00fcber hinaus erkennt das Sicherheits-Subsystem LocalSystem nicht. Laut Microsoft besteht die Hauptgefahr der Schwachstelle darin, dass sie dazu verwendet werden kann, eine Bedrohung \u00fcber das lokale Netzwerk zu verbreiten. Demnach wird CVE-2020-1350 als wurmgef\u00e4hrdete Sicherheitsanf\u00e4lligkeit eingestuft.<\/p>\n<h2>Wer ist von CVE-2020-1350 betroffen?<\/h2>\n<p>Alle Versionen von Windows Server sind anf\u00e4llig, aber nur, wenn sie im DNS-Server-Modus ausgef\u00fchrt werden. Wenn Ihr Unternehmen keinen DNS-Server hat oder einen DNS-Server verwendet, der auf einem anderen Betriebssystem basiert, brauchen Sie sich keine Sorgen zu machen.<\/p>\n<p>Gl\u00fccklicherweise wurde die Schwachstelle von der Forschungsgruppe Check Point Research entdeckt, und bisher wurden noch es noch nicht ver\u00f6ffentlicht, wie die Schwachstelle genau ausgenutzt werden kann. Dar\u00fcber hinaus gibt es derzeit keine Hinweise darauf, dass CVE-2020-1350 von Angreifern ausgenutzt wurde.<\/p>\n<p>Es ist jedoch sehr wahrscheinlich, dass Cyberkriminelle nach Microsofts Patch-Empfehlung schon angreifbare DNS Server und den Patch analysieren, um m\u00f6gliche Angriffe zu starten. Die Installation des Patches sollte deshalb umgehend erfolgen.<\/p>\n<h2>Was jetzt zu tun ist<\/h2>\n<p>Wie schon erw\u00e4hnt, ist das Installieren des Microsoft-Patches der sinnvollste Schritt. Durch den Patch wird die Art und Weise, wie der DNS-Server bearbeitet, ver\u00e4ndert. Der Patch ist f\u00fcr Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server Version 1903, Windows Server Version 1909 und Windows Server Version 2004 verf\u00fcgbar. Sie k\u00f6nnen den Patch <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-1350\" target=\"_blank\" rel=\"noopener nofollow\">hier<\/a> herunterladen.<\/p>\n<p>Einige gro\u00dfe Unternehmen haben jedoch interne Regeln und eine etablierte Routine f\u00fcr Software-Aktualisierungen, und ihre Systemadministratoren sind m\u00f6glicherweise nicht in der Lage, den Patch sofort zu installieren. Um zu verhindern, dass DNS-Server in solchen F\u00e4llen kompromittiert werden, hat \u00a0das Unternehmen auch eine <a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4569509\/windows-dns-server-remote-code-execution-vulnerability\" target=\"_blank\" rel=\"noopener nofollow\">Problemumgehung<\/a> ver\u00f6ffentlicht. Dazu geh\u00f6ren die folgenden \u00c4nderungen der Systemregistrierungsdatenbank:<\/p>\n<p>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\DNS\\Parameters<br>\nDWORD = TcpReceivePacketSize<br>\nValue = 0xFF00<\/p>\n<p>Nachdem Sie die \u00c4nderungen gespeichert haben, m\u00fcssen Sie den DNS-Dienst neu starten. Beachten Sie, dass diese Problemumgehung in dem seltenen Fall, dass der Server ein TCP-Paket mit einer Gr\u00f6\u00dfe von mehr als 65.280 Bytes empf\u00e4ngt, m\u00f6glicherweise zu einem fehlerhaften Serverbetrieb f\u00fchren kann. Nach der Installation des Patches empfiehlt Microsoft die L\u00f6schung von TcpRecievePacketSize und dessen Werte sowie die Zur\u00fccksetzung der Registry in ihren urspr\u00fcnglichen Zustand.<\/p>\n<p>Wir m\u00f6chten Sie daran erinnern, dass der DNS-Server, der in Ihrer Infrastruktur l\u00e4uft, immer noch ein Endpoint-Computer ist, wie jeder andere auch. Diese weisen auch Schwachstellen auf, die Cyberkriminelle auszunutzen versuchen werden. Daher ben\u00f6tigt auch der DNS-Server, wie jeder andere Endpoint im Netzwerk, eine Sicherheitsl\u00f6sung, wie Kaspersky Endpoint Security for Business.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n","protected":false},"excerpt":{"rendered":"<p>Microsoft hat einen Patch f\u00fcr eine kritische RCE-Schwachstelle in Windows Server-Systemen ver\u00f6ffentlicht.<\/p>\n","protected":false},"author":2581,"featured_media":24722,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107],"tags":[205,2384,25,79,2903],"class_list":{"0":"post-24721","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-bedrohung","10":"tag-dns","11":"tag-microsoft","12":"tag-patch","13":"tag-schwachstelle"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2020-1350-dns-rce\/24721\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2020-1350-dns-rce\/21562\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/17025\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/8438\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/22822\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2020-1350-dns-rce\/21013\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/19661\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2020-1350-dns-rce\/23491\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1350-dns-rce\/22334\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2020-1350-dns-rce\/28735\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cve-2020-1350-dns-rce\/8588\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/36366\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1350-dns-rce\/15293\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1350-dns-rce\/15766\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cve-2020-1350-dns-rce\/13690\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cve-2020-1350-dns-rce\/28829\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/cve-2020-1350-dns-rce\/25687\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2020-1350-dns-rce\/22591\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2020-1350-dns-rce\/27846\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2020-1350-dns-rce\/27682\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstelle\/","name":"Schwachstelle"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24721","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=24721"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24721\/revisions"}],"predecessor-version":[{"id":24729,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24721\/revisions\/24729"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/24722"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=24721"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=24721"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=24721"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}