Check Point發現Windows DNS潛藏17年的安全漏洞

分類: 軟體 新品報導   7/21/2020   Check Point


Check Point 研究人員發現了一個深埋在Windows DNS伺服器17年未被發現的嚴重漏洞。微軟在接獲Check Point報告後,列為CVSS風險評分系統最高風險的10分,並緊急釋出了修補程式,可見其嚴重程度。Check Point建議 Windows DNS伺服器2003至2019版的使用者盡快安裝修補程式,以維護資訊安全。

DNS相當於網路通訊錄,一旦遭攻破將面臨極大風險

DNS(Domain Name System,網域名稱系統)是全球網路基礎設施的一部分,它能夠將網站名稱轉換為電腦搜尋該網站或發送電子郵件所需的一串數字,概念就像是網路的「通訊錄」。當使用者擁有一個網域名稱(如www.checkpoint.com),就可以透過「DNS記錄」取得該網站的IP位址。若是駭客能夠竄改企業網路的DNS紀錄,進而更改網站名稱所轉換成的位址,那麼無論是使用者的電子郵件包含使用者的權限與憑證,或是公司內部的網路動態,都面臨被操控的風險。

為了凸顯DNS遭篡改的安全嚴重性,2019年美國國土安全部曾發佈了一個罕見的緊急命令,要求所有美國聯邦民政機構做好網域名稱記錄憑證保護,以應對DNS綁架活動。透過綁架這些目標的DNS伺服器,攻擊者能夠從中東的許多公共和私營部門中竊取電子郵件和其他登錄憑證,將所有電子郵件和VPN流量重新導向到由攻擊者控制的網路位址。

SIGRed漏洞已潛藏在Windows DNS伺服器長達17年,具備自主增生(Wormable)能力

這個漏洞被Check Point命名為SIGRed,其發生在Windows DNS伺服器解析外部傳入的 DNS查詢,以及針對轉送的DNS查詢回應進行解析的過程中。如果由惡意DNS發出要求,那麼它將觸發基礎架構的記憶體堆積區緩衝溢位(heap-based buffer overflow),使駭客能夠控制伺服器。

此外,微軟形容SIGRed擁有「自主增生(Wormable)」的能力,代表它能藉由攻擊某個漏洞來啟動連鎖反應,將病毒從易受攻擊的機器散播至其餘也易受攻擊的裝置上,過程甚至無須人工干預操作。由於許多企業都未重視DNS的安全性,因此一台受感染的電腦可能就會化身「超級傳播者」,只要短短幾分鐘,駭客便能從小漏洞下手,將攻擊輻射到整個企業的網路中。如此高風險的漏洞若遭駭客利用,所有使用Windows伺服器2003至2019版的企業都面臨伺服器網域名稱管理許可權被竊取,導致整個企業基礎設施蒙受嚴重損害的威脅。


微軟釋出修補程式作為解決方案

Check Point於5月19日向微軟揭露了SIGRed漏洞,而微軟也迅速做出了應對,開發出保護 Windows DNS 伺服器的遠端執行代碼(CVE-2020-1350),並在7月14日釋出修補程式。

Check Point認為這個漏洞遭到駭客利用的可能性很大,因為內部研究團隊發現了利用此漏洞所需的所有原語(primitives),表示駭客也可能找到相同的資源。此外,一些網路服務提供商(ISP)甚至可能已將其公共 DNS 伺服器設置成了 WinDNS,Check Point強烈建議所有使用者更新受影響的Windows DNS伺服器,以防止漏洞遭到駭客利用。

Check Point IPS blade解決方案可為微軟Windows DNS伺服器的SIGRed漏洞威脅提供防護。關於此漏洞的更多資訊,請見Check Point Research的部落格:https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin:-exploiting-a-17-year-old-bug-in-windows-dns-servers/