Security Advisory 935964 - haavoittuvuus Windows-palvelimen DNS-palvelussa

Microsoft on julkaissut uuden Security Advisoryn numeroltaan 935964 ja otsikoltaan Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution. Advisory koskee Windowsin palvelinversioiden mukana toimitettavaa Domain Name System -palvelua (DNS). Julkisuudessakin on ollut tietoja DNS-palvelussa havaitusta haavoittuvuudesta, joka koskee DNS-palvelun RPC-rajapintaa (Remote Procedure Call). Haavoittuvuus on parhaillaan Microsoft Security Response Centerin tutkinnassa ja siihen tehdään ja julkaistaan korjaus, mikäli tutkimuksen tulos sille antaa aihetta. 

DNS-palvelu on osa seuraavia Windowsin versioita: Windows 2000 Server Service Pack 4 sekä Windows Server 2003 Service Pack 1 ja Service Pack 2.

Hyökkääjä voi hyödyntää haavoittuvuutta lähettämällä tietyllä tavalla muotoillun RPC-paketin verkon välityksellä Windows-palvelimessa toimivalle DNS-palvelulle, jolloin hyökkääjä pääsee suorittamaan haluamaansa ohjelmakoodia kohteena olevassa palvelimessa. Ohjelmakoodi suoritetaan Local System -tunnuksen käyttöoikeuksilla. On huomattava, että haavoittuvuutta ei voi hyödyntää DNS-palvelun normaalin TCP/UDP-portin 53 kautta tapahtuvan nimiselvityksen kautta - haavoittuvuutta voi hyödyntää ainoastaan RPC-rajapinnan kautta.

Haavoittuvuuteen ei siis ole korjausta vielä olemassa - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? Helpoin tapa on estää DNS-palvelimen etähallinta RPC-rajapinnan välityksellä, tai estää RPC-liikenne DNS-palvelimeen kokonaan. Security Advisoryn Suggested Actions -osuudessa on tarkempia ohjeita.