微软警告17岁的“可恶”漏洞

2020-07-15 04:42:59

自从WannaCry和NotPetya三年多前进入互联网以来,安全行业仔细审查了每一个新的Windows漏洞,这些漏洞可能被用来制造类似的震撼世界的蠕虫。现在,微软在域名系统协议的实现中出现了一个潜在的易受攻击的漏洞--这意味着攻击可以从一台机器传播到另一台机器,而无需人工交互。域名系统协议是互联网的基本组成部分之一。

作为周二补丁批量软件更新的一部分,微软今天发布了对以色列安全公司Check Point发现的漏洞的修复,该公司的研究人员将该漏洞命名为SigRed。SigRed漏洞利用Windows DNS,这是将域名转换为IP地址的最流行的DNS软件之一。Windows DNS几乎运行在世界上每个中小型组织的DNS服务器上。Check Point说,这个漏洞在该软件中已经存在了不寻常的17年。

Check Point和微软警告称,该漏洞非常严重,通用漏洞评分系统的评分为10分(满分10分),这是行业标准的严重程度评级。不仅漏洞容易滋生,Windows DNS软件还经常在功能强大的服务器上运行,这些服务器被称为域控制器,负责为网络设置规则。这些机器中的许多都特别敏感;在一台机器上站稳脚跟,将允许进一步渗透到组织内的其他设备。

最重要的是,Check Point漏洞研究负责人欧姆里·赫斯科维奇(Omri Herscovici)表示,在某些情况下,Windows DNS漏洞可以在目标用户不采取任何行动的情况下被利用,从而制造出无缝而强大的攻击。它不需要交互。不仅如此,一旦您进入运行Windows DNS服务器的域控制器,将您的控制扩展到网络的其余部分真的很容易,Omri Herscovici说。游戏基本上结束了。

Check Point在Windows DNS的处理特定数据的部分中发现了SigRed漏洞,该数据是更安全的DNS版本(称为DNSSEC)中使用的密钥交换的一部分。可以恶意创建一条数据,使得Windows DNS允许黑客覆盖他们无权访问的内存块,最终在目标服务器上获得完全远程代码执行。(Check Point表示,微软要求该公司不要公布该技术其他要素的太多细节,包括它如何绕过Windows服务器上的某些安全功能。)。

对于Check Point的赫斯科维奇描述的远程、无交互版本的攻击,目标DNS服务器必须直接暴露在互联网上,这在大多数网络中是很少见的;管理员通常在他们保留在防火墙后面的服务器上运行Windows DNS。但赫斯科维奇指出,如果黑客可以通过访问公司Wi-Fi或将计算机插入公司LAN来访问本地网络,他们就可以触发相同的DNS服务器接管。也有可能通过网络钓鱼电子邮件中的一个链接来利用该漏洞:欺骗目标点击该链接,他们的浏览器将在DNS服务器上启动相同的密钥交换,使黑客能够完全控制该链接。

Check Point仅演示了它可以使用该网络钓鱼技巧使目标DNS服务器崩溃,而不是劫持它。但美国国家安全局(National Security Agency,简称NSA)前黑客、Rendition Infosec创始人杰克·威廉姆斯(Jack Williams)表示,这一钓鱼伎俩很可能会被巧妙地利用,从而在绝大多数没有在其防火墙上拦截出站流量的网络中,完全控制目标DNS服务器。威廉姆斯说,通过精心设计,你可能会瞄准防火墙后面的DNS服务器。

Williams说,虽然许多大型组织使用在Linux服务器上运行的DNS的BIND实现,但较小的组织通常运行Windows DNS,因此数以千计的IT管理员可能需要急于修补SigRed漏洞。而且由于SigRed漏洞自2003年起就存在于Windows DNS中,因此该软件的几乎每个版本都存在漏洞。

虽然这些组织很少将他们的Windows DNS服务器暴露在互联网上,但Check Point和威廉姆斯都警告说,自新冠肺炎疫情开始以来,许多管理员已经对网络进行了架构更改-往往是有问题的更改-以更好地允许员工在家工作。这可能意味着更多公开的Windows DNS服务器可供完全远程攻击。威廉姆斯说,近几个月来,暴露在互联网上的东西的威胁格局急剧上升。

Check Point说,好消息是,考虑到触发漏洞所需的嘈杂通信,检测Windows DNS服务器的SigRed攻击相对容易。该公司表示,尽管SigRed在Windows DNS中已经存在了17年,但到目前为止,它还没有发现任何针对其客户网络的攻击迹象。赫斯科维奇说:我们不知道有没有人在使用它,但如果他们使用了,希望现在它会停止。但至少在短期内,微软的补丁也可能导致对漏洞的更多利用,因为黑客对补丁进行反向工程,以发现漏洞到底是如何触发的。

Check Point的赫斯科维奇认为,SigRed漏洞应该像EternalBlue和BlueKeep等老式Windows黑客技术利用的漏洞一样受到重视。这两种Windows开发方法都引起了人们的警觉,因为它们有可能在互联网上从一台机器传播到另一台机器。虽然BlueKeep除了一些加密货币挖掘之外,从未导致蠕虫或任何大规模黑客事件,但EternalBlue被整合到2017年春夏肆虐全球网络的WannaCry和NotPetya蠕虫中,成为历史上破坏性最大的两种计算机蠕虫。赫斯科维奇说:我会把它与BlueKeep或EternalBlue相提并论。如果这个漏洞被利用,我们可能会得到一个新的WannaCry。

但Rendition Infosec的威廉姆斯认为,SigRed漏洞更有可能被用于有针对性的攻击。威廉姆斯说,大多数SigRed技术可能不太可靠,因为Windows称为控制流保护的缓解措施有时可能会导致机器崩溃,而不是被劫持。而且完全暴露的Windows DNS服务器相对较少,因此易受蠕虫攻击的计算机数量无法与BlueKeep或EternalBlue相提并论。利用SigRed的网络钓鱼技术几乎不会把自己传染给蠕虫,因为它需要用户点击一个链接。

然而,SigRed可以作为更有鉴别力的黑客的强大工具。这意味着Windows管理员应该立即为其打补丁。威廉姆斯说:从技术上讲,它是可以蠕虫的,但我不认为会有基于这种机制的蠕虫。但在我看来,资金雄厚的对手会利用这一点,这一点在我心目中是毋庸置疑的。

👁如果处理得当,人工智能可以使警务更加公平。另外:获取最新的人工智能新闻。

苹果(📱)在最新款手机之间左右为难?永远不要害怕-查看我们的iPhone购买指南和最喜欢的Android手机