近日,Check Point 研究人員發現了一個嚴重漏洞,該漏洞使攻擊者能夠完全控制您的 Windows DNS 服務器,而 Windows DNS 服務器是所有 Windows 網絡環境的重要組件。Check Point安全團隊已向 Microsoft 報告了此漏洞,Microsoft 承認這是一個嚴重漏洞(CVSS 得分 10.0 – 表示可能的最高嚴重性),并發布了緊急安全補丁。Check Point強烈建議使用 Windows DNS 服務器 2003 至 2019 版的用戶及時應用此補丁,以防止漏洞遭到黑客利用。
為何這個新發現的漏洞如此嚴重? 我們需要從DNS的原理說起。
強大又脆弱的域名系統DNS (Domain Name System)
DNS 是全球互聯網基礎設施的一部分,它能夠將人人都熟知和使用的網站名稱轉換為計算機查找該網站或發送電子郵件所需的一串數字(IP),這是互聯網的“通訊錄”。如果您擁有一個域名(如 www.checkpoint.com),則您可以通過“DNS 記錄”控制該名稱解析為哪個數字。
但如果有人能夠篡改組織網絡使用的 DNS 記錄,從而更改網站名稱轉換成的地址,會發生什么呢?那么這就變成了一個關鍵的安全問題,就像我們前面提到的示例一樣,有人會攔截并研究您所有的郵件。
為了強調 DNS 篡改安全問題的嚴重性,2019 年,美國國土安全部發布罕見緊急指令,命令所有美國聯邦民政機構 做好互聯網域名記錄憑證保護,以應對國際域名系統 (DNS) 劫持活動。劫持者能夠通過劫持這些目標的 DNS 服務器,從中東的許多公共和私營部門中竊取電子郵件和其他登錄憑證,從而將所有電子郵件和 VPN 流量重定向到由攻擊者控制的互聯網地址。
傳染性漏洞
如果此漏洞遭到黑客利用,那么所有使用 Windows Server 2003 至 2019 版的組織都將面臨服務器域名管理權限被竊取,整個企業基礎設施受到損害的風險。
經Check Point Research團隊研究發現,存在缺陷的地方是 Windows DNS 服務器解析傳入 DNS 查詢的方式,以及解析轉發 DNS 查詢響應的方式。 如果由惡意 DNS 查詢觸發(我們的 研究博客全 文 中進行了詳細描述),那么它將觸發基于堆的緩沖區溢出,從而使黑客能夠控制服務器。
為了進一步說明該漏洞的嚴重性,Microsoft 將其描述為“可蠕蟲”,這意味著一個漏洞就可以啟動連鎖反應,從而允許攻擊從易受攻擊的機器傳播到另一臺易受攻擊的機器,而無需任何人工干預。 由于許多組織都未將 DNS 安全視為監視或嚴格控制的對象,因此一臺受感染的計算機可能是“超級傳播者”,黑客首次利用漏洞后的幾分鐘內便能將攻擊傳播到整個組織的網絡中。
披露與解決
Check Point于 5 月 19 日向 Microsoft 披露了我們的研究結果,他們迅速做出了回應,開發了保護 Microsoft Windows DNS 服務器遠程執行代碼 (CVE-2020-1350)。該補丁將于 7 月 14 日星期二開始提供。
Check Point強烈建議用戶修補受影響的 Windows DNS 服務器,以防止漏洞遭到黑客利用。Check Point安全專家認為這個漏洞遭到黑客利用的可能性很大,因為安全團隊已經在內部發現了利用此漏洞所需的所有原語,這意味著黑客也可以找到相同的資源。此外,一些互聯網服務提供商 (ISP) 甚至可能已將其公共 DNS 服務器設置成了 WinDNS。
有關此漏洞的詳細調查信息,請訪問Check Point的研究博客,網址為: https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin:-exploiting-a-17-year-old-bug-in-windows-dns-servers/
Check Point IPS 解決方案可針對以下威脅提供防護:“Microsoft Windows DNS Server SIG Record Parsing Buffer Overflow”。
京公網安備 11010502049343號