SIGRed 嚴重漏洞來勢洶洶,即時修復以策安全
試想像,如果有人能夠在你不知情的情況下攔截並閱讀你的每封郵件(包括關於你的新銀行卡,新換領的駕駛執照或護照,醫生來信和申請表等)然後再將其轉發給你,將會發生什麼?可想而知,對於此人能了解到關於你的詳細訊息,並可能通過複製或修改你的郵件對你造成破壞性影響。
現在,我們試想像一下,黑客可以在你所工作的機構的網絡上執行相同的操作,攔截和阻止用戶的電子郵件和網絡流量,令伺服器停止運作,收集用戶憑證等,以致他們將能夠完全控制你的 IT設備。
Check Point研究人員最近發現了一個嚴重漏洞,該漏洞使攻擊者能夠完全控制你的Windows DNS伺服器,而Windows DNS伺服器是Windows網絡環境的重要配件。我們已向Microsoft匯報了此漏洞,Microsoft承認這是一個嚴重漏洞(CVSS分數10.0 –表示可能的最高嚴重性),並發布了緊急安全更新。我們強烈建議用戶使用針對2003至2019版的Windows DNS伺服器的更新,以防止遭到黑客利用。
我們來詳細了解甚麼是DNS,以及為何這個新發現的漏洞如此嚴重。
解決問題
DNS是全球互聯網基礎設施的一部分,它能夠將大家熟悉的的網站名稱轉換為電腦所需的一串數字以搜尋該網站或發送電子郵件,這是互聯網的「通訊錄 」。如果你擁有一個域名(如www.checkpoint.com),你就可以通過「 DNS記錄」控制該名稱所演繹後的其中一個數字。
但如果有人能夠在機構網絡所使用的DNS記錄進行惡意修改,從而更改網站名稱轉換成的地址,會發生什麼呢?這便會變成了一個重要的保安問題,就像我們前面提到的例子一樣,有人會攔截並查閱你所有的郵件。
為了強調DNS惡意修改在保安問題的嚴重性,美國國土安全部在2019年罕有地發布緊急指令,命令所有美國聯邦民政機構做好互聯網域名記錄憑證保護,以應對國際域名系統(DNS)劫持活動。劫持者能夠通過劫持這些目標的DNS伺服器,從中東的許多公共和私人部門中竊取電子郵件和其他登入憑證,從而將所有電子郵件和VPN流量轉換到由攻擊者控制的互聯網地址。
傳染性漏洞
如果此漏洞遭到黑客利用,那麼所有使用Windows Server 2003至2019版的組織都將面臨伺服器域名管理權限被竊取,整個企業基礎設施均受到損壞的風險。
存在缺陷的地方是當Windows DNS伺服器解析傳入DNS查詢的方式,以及解析轉發DNS查詢應對的方式。如果由惡意DNS查詢觸發(詳細研究資訊的全文),那麼逐步觸發基於堆的緩衝區溢出,從而使黑客能夠控制伺服器。
為了進一步說明該漏洞的嚴重性,Microsoft將其描述為「可蠕蟲」,這意味著一個漏洞就可以引發一連串反應,從而允許攻擊從易受攻擊的機器傳播到另一台易受攻擊的機器,而無需任何人的互動。 由於許多機構都未將DNS保安視為監控或嚴格控制的對象,因此一台受感染的機器可能是「超級傳播者 」,黑客首次利用入侵後的幾分鐘內便能將攻擊傳播到整個組織的網絡中。
披露與緩解
我們於5月19日向Microsoft披露了我們的研究結果,他們迅速做出了回應,開發了保護Microsoft Windows DNS伺服器遠程執行代碼(CVE-2020-1350)。該更新將於7月14日星期二開始提供。
強烈建議用戶修補遭到侵害的Windows DNS伺服器,以防止漏洞被黑客利用。我們認為,這個漏洞遭到黑客利用的可能性很大,因為我們在內部發現了利用此漏洞所需的所有原語,這意味黑客也可以找到相同的資源。此外,一些互聯網服務供應商 (ISP) 甚至可能已將其公共 DNS 伺服器設置成了 WinDNS。
有關此漏洞的詳細調查資訊,請瀏覽我們的研究Blog,網址為:https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin:-exploiting-a-17-year-old-bug-in-windows-dns-servers/
Check Point IPS Blade可針對以下威脅提供防護:
“Microsoft Windows DNS Server SIG Record Parsing Buffer Overflow”。
發表迴響