SIGRed 嚴重漏洞來勢洶洶,立即修復(fù)刻不容緩

責(zé)任編輯:cres

2020-07-16 11:25:27

摘自:互聯(lián)網(wǎng)

SIGRed 嚴重漏洞來勢洶洶,立即修復(fù)刻不容緩。

想象一下,如果有人能夠在您不知情的情況下攔截并閱讀您的每一封郵件(包括新辦理的銀行卡、各種支付賬號信息、工作申請表等等)然后再將其轉(zhuǎn)發(fā)給您,將會發(fā)生什么?通過郵件了解您的詳細信息,黑客能通過復(fù)制或篡改您的郵件對您造成破壞性影響。再試想一下,黑客可以在您企業(yè)的網(wǎng)絡(luò)上執(zhí)行相同的操作,攔截和操控用戶的電子郵件和網(wǎng)絡(luò)流量,終止服務(wù)運行,收集用戶憑證等等。實際上,他們將能夠完全控制您的 IT 設(shè)施與核心業(yè)務(wù)。

  近日,Check Point 研究人員發(fā)現(xiàn)了一個嚴重漏洞,該漏洞使攻擊者能夠完全控制您的 Windows DNS 服務(wù)器,而 Windows DNS 服務(wù)器是所有 Windows 網(wǎng)絡(luò)環(huán)境的重要組件。Check Point安全團隊已向 Microsoft 報告了此漏洞,Microsoft 承認這是一個嚴重漏洞(CVSS 得分 10.0 – 表示可能的最高嚴重性),并發(fā)布了緊急安全補丁。Check Point強烈建議使用 Windows DNS 服務(wù)器 2003 至 2019 版的用戶及時應(yīng)用此補丁,以防止漏洞遭到黑客利用。

  為何這個新發(fā)現(xiàn)的漏洞如此嚴重? 我們需要從DNS的原理說起。

  強大又脆弱的域名系統(tǒng)DNS (Domain Name System)

  DNS 是全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的一部分,它能夠?qū)⑷巳硕际熘褪褂玫木W(wǎng)站名稱轉(zhuǎn)換為計算機查找該網(wǎng)站或發(fā)送電子郵件所需的一串數(shù)字(IP),這是互聯(lián)網(wǎng)的“通訊錄”。如果您擁有一個域名(如 www.checkpoint.com),則您可以通過“DNS 記錄”控制該名稱解析為哪個數(shù)字。

  但如果有人能夠篡改組織網(wǎng)絡(luò)使用的 DNS 記錄,從而更改網(wǎng)站名稱轉(zhuǎn)換成的地址,會發(fā)生什么呢?那么這就變成了一個關(guān)鍵的安全問題,就像我們前面提到的示例一樣,有人會攔截并研究您所有的郵件。

  為了強調(diào) DNS 篡改安全問題的嚴重性,2019 年,美國國土安全部發(fā)布罕見緊急指令,命令所有美國聯(lián)邦民政機構(gòu) 做好互聯(lián)網(wǎng)域名記錄憑證保護,以應(yīng)對國際域名系統(tǒng) (DNS) 劫持活動。劫持者能夠通過劫持這些目標的 DNS 服務(wù)器,從中東的許多公共和私營部門中竊取電子郵件和其他登錄憑證,從而將所有電子郵件和 VPN 流量重定向到由攻擊者控制的互聯(lián)網(wǎng)地址。

  傳染性漏洞

  如果此漏洞遭到黑客利用,那么所有使用 Windows Server 2003 至 2019 版的組織都將面臨服務(wù)器域名管理權(quán)限被竊取,整個企業(yè)基礎(chǔ)設(shè)施受到損害的風(fēng)險。

  經(jīng)Check Point Research團隊研究發(fā)現(xiàn),存在缺陷的地方是 Windows DNS 服務(wù)器解析傳入 DNS 查詢的方式,以及解析轉(zhuǎn)發(fā) DNS 查詢響應(yīng)的方式。 如果由惡意 DNS 查詢觸發(fā)(我們的 研究博客全 文 中進行了詳細描述),那么它將觸發(fā)基于堆的緩沖區(qū)溢出,從而使黑客能夠控制服務(wù)器。

  為了進一步說明該漏洞的嚴重性,Microsoft 將其描述為“可蠕蟲”,這意味著一個漏洞就可以啟動連鎖反應(yīng),從而允許攻擊從易受攻擊的機器傳播到另一臺易受攻擊的機器,而無需任何人工干預(yù)。 由于許多組織都未將 DNS 安全視為監(jiān)視或嚴格控制的對象,因此一臺受感染的計算機可能是“超級傳播者”,黑客首次利用漏洞后的幾分鐘內(nèi)便能將攻擊傳播到整個組織的網(wǎng)絡(luò)中。

  披露與解決

  Check Point于 5 月 19 日向 Microsoft 披露了我們的研究結(jié)果,他們迅速做出了回應(yīng),開發(fā)了保護 Microsoft Windows DNS 服務(wù)器遠程執(zhí)行代碼 (CVE-2020-1350)。該補丁將于 7 月 14 日星期二開始提供。

  Check Point強烈建議用戶修補受影響的 Windows DNS 服務(wù)器,以防止漏洞遭到黑客利用。Check Point安全專家認為這個漏洞遭到黑客利用的可能性很大,因為安全團隊已經(jīng)在內(nèi)部發(fā)現(xiàn)了利用此漏洞所需的所有原語,這意味著黑客也可以找到相同的資源。此外,一些互聯(lián)網(wǎng)服務(wù)提供商 (ISP) 甚至可能已將其公共 DNS 服務(wù)器設(shè)置成了 WinDNS。

  有關(guān)此漏洞的詳細調(diào)查信息,請訪問Check Point的研究博客,網(wǎng)址為: https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin:-exploiting-a-17-year-old-bug-in-windows-dns-servers/

  Check Point IPS 解決方案可針對以下威脅提供防護:“Microsoft Windows DNS Server SIG Record Parsing Buffer Overflow”。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號