В 2020 году специалисты компании Check Point обнаружили критическую уязвимость в Windows DNS Server (CVE-2020-1350), получившую 10 баллов из 10 возможных по шкале оценки уязвимостей CVSSv3.

Эксперты подчеркивают, что уязвимость SIGRed актуальна для всех версий Windows Server, выпущенных Microsoft за последние 17 лет, не требует предварительной аутентификации и может эксплуатироваться для автоматизированных удаленных атак. Для эксплуатации бага злоумышленнику достаточно отправить вредоносные DNS-запросы к DNS-серверам Windows, что повлечет за собой выполнение произвольного кода и может привести к компрометации всей инфраструктуры.

Microsoft еще в 2020 году в рамках июльского "вторника обновлений" выпустила патч, устраняющий уязвимость SigRed. И недавно ведущий ИБ-специалист компании Grapl Валентина Пальмиотти представила PoC-эксплоит для SIGRed, опубликовала подробный отчет о его работе, где она также поясняет, как создавать правила SIEM для обнаружения эксплуатации SIGRed.

Эксплоит Пальмиотти был успешно протестирован на непропатченных 64-битных версиях Windows Server 2019, 2016, 2012R2 и 2012. Стоит отметить, что эксплоиты для SIGRed появлялись и ранее, однако они были способны лишь спровоцировать отказ в обслуживании.