微软正在紧急建议Windows服务器客户修补一个漏洞,该漏洞允许攻击者在没有用户交互的情况下控制整个网络,并从那里迅速从一台计算机传播到另一台计算机。
这个漏洞,被发现它的研究人员称为SigRed,驻留在Windows DNS中,这是一个自动响应将域名转换为计算机在互联网上定位它所需的IP地址的请求的组件。通过发送恶意构建的查询,攻击者可以执行获得域管理员权限的代码,并从那里控制整个网络。该漏洞不适用于Windows客户端版本,2003至2019年的服务器版本中存在该漏洞。SigRed的正式跟踪编号为CVE-2020-1350。作为本月周二更新的一部分,微软发布了一个补丁。
微软和发现该漏洞的安全公司Check Point的研究人员都表示,它是可蠕虫的,这意味着它可以像倒下的多米诺骨牌一样从一台计算机传播到另一台计算机。在不需要用户交互的情况下,计算机蠕虫仅通过连接就有可能迅速传播,而且根本不需要最终用户做任何事情。
当蠕虫的潜在漏洞很容易允许恶意代码执行时,利用漏洞可能会特别有害,就像2016年的WannaCry和NotPetya攻击一样,这两起攻击关闭了全球网络,造成了数十亿美元的损失。
Check Point研究人员表示,利用SigRed所需的努力完全在熟练黑客的能力范围内。虽然目前没有证据表明该漏洞正在被积极利用,但Check Point表示,这种情况很可能会改变,如果改变了,破坏性影响将会很高。在一份技术分析报告中,公司研究员萨吉·扎迪克(Sagi Tzadik)在5月份发现了这个漏洞,并私下向微软报告了这一漏洞,他写道:
我们认为此漏洞被利用的可能性很高,因为我们在内部找到了利用此漏洞所需的所有原语。由于时间限制,我们没有继续利用该缺陷(包括将所有利用原语链接在一起),但我们相信决心坚定的攻击者将能够利用它。成功利用此漏洞将造成严重影响,因为您经常可以发现未打补丁的Windows域环境,尤其是域控制器。此外,一些互联网服务提供商(ISP)甚至可能已将其公共DNS服务器设置为WinDNS。
在这里的简短总结中,微软分析师一致认为基于堆的底层缓冲区溢出很容易受到攻击。该公司还将剥削的可能性评为“更有可能”。许多外部研究人员对此表示赞同。
保加利亚国家计算机病毒学实验室的安全专家Vesselin Vladimirov Bontchev在Twitter上写道:“如果我没有理解错的话,说它‘值得一读’实际上是轻描淡写。”“它适用于像Slammer一样的闪存蠕虫,这种蠕虫在大约10分钟内感染了互联网上所有易受攻击的电脑。”
它适用于像Slammer一样的闪存蠕虫,这种蠕虫在大约10分钟内感染了互联网上所有易受攻击的计算机。
邦切夫不同意安全研究员马库斯·哈钦斯(Marcus Hutchins)的观点,后者表示,他认为攻击者更有可能利用SigRed发动严重的勒索软件运动。在这种情况下,攻击者将控制网络的DNS服务器,然后使用它将恶意软件推送到所有连接的客户端计算机。Slamer是对SQL Slammer的引用,SQL Slammer是2003年的一种蠕虫,它利用了Microsoft SQL Server中的两个漏洞。在被激活的10分钟内,SQL Slammer感染了超过75,000台机器,其中一些属于微软。
使用Windows DNS的组织应仔细评估风险,并尽快安装周二的修补程序。对于那些不能立即打补丁的人,微软在上面链接的评论中提供了人们可以采取的权宜之计。