Check Point發現SIGRed 嚴重漏洞 倡即時修復以策安全

  •  
  •  
  •  

Check Point研究人員最近發現了一個嚴重漏洞,該漏洞使攻擊者能夠完全控制用户的Windows DNS伺服器,而Windows DNS伺服器是Windows網絡環境的重要配件。Microsoft承認這是一個嚴重漏洞(CVSS分數10.0 –表示可能的最高嚴重性),並發布了緊急安全更新。Check Point強烈建議用戶使用針對2003至2019版的Windows DNS伺服器的更新,以防止遭到黑客利用。 

解決問題

DNS是全球互聯網基礎設施的一部分,它能夠將大家熟悉的的網站名稱轉換為電腦所需的一串數字以搜尋該網站或發送電子郵件,這是互聯網的「通訊錄 」。如果用户擁有一個域名(如www.checkpoint.com),便可以通過「 DNS記錄」控制該名稱所演繹後的其中一個數字。 

但是,如果有人能夠在機構網絡所使用的DNS記錄進行惡意修改,從而更改網站名稱轉換成的地址。這便會變成了一個重要的保安問題,就像上述提到的例子一樣,有人會攔截並查閱所有的郵件。 

為了強調DNS惡意修改在保安問題的嚴重性,美國國土安全部在2019年罕有地發布緊急指令,命令所有美國聯邦民政機構做好互聯網域名記錄憑證保護,以應對國際域名系統(DNS)劫持活動。劫持者能夠通過劫持這些目標的DNS伺服器,從中東的許多公共和私人部門中竊取電子郵件和其他登入憑證,從而將所有電子郵件和VPN流量轉換到由攻擊者控制的互聯網地址。

傳染性漏洞

如果此漏洞遭到黑客利用,那麼所有使用Windows Server 2003至2019版的組織都將面臨伺服器域名管理權限被竊取,整個企業基礎設施均受到損壞的風險。 

存在缺陷的地方是當Windows DNS伺服器解析傳入DNS查詢的方式,以及解析轉發DNS查詢應對的方式。如果由惡意DNS查詢觸發,那麼逐步觸發基於堆的緩衝區溢出,從而使黑客能夠控制伺服器。 

為了進一步說明該漏洞的嚴重性,Microsoft將其描述為「可蠕蟲」,這意味著一個漏洞就可以引發一連串反應,從而允許攻擊從易受攻擊的機器傳播到另一台易受攻擊的機器,而無需任何人的互動。 由於許多機構都未將DNS保安視為監控或嚴格控制的對象,因此一台受感染的機器可能是「超級傳播者 」,黑客首次利用入侵後的幾分鐘內便能將攻擊傳播到整個組織的網絡中。

披露與緩解

Check Point向Microsoft披露研究結果,他們迅速做出了回應,開發了保護Microsoft Windows DNS伺服器遠程執行代碼(CVE-2020-1350)。該更新將於7月14日星期二開始提供。

強烈建議用戶修補遭到侵害的Windows DNS伺服器,以防止漏洞被黑客利用。Check Point認為,這個漏洞遭到黑客利用的可能性很大,因為在內部發現了利用此漏洞所需的所有原語,這意味黑客也可以找到相同的資源。此外,一些互聯網服務供應商 (ISP) 甚至可能已將其公共 DNS伺服器設置成了 WinDNS。


  •  
  •  
  •