已有17年历史的“ Wormable”严重RCE漏洞影响Windows DNS服务器

作者
入侵Windows DNS服务器

网络安全研究人员今天披露了一个新的高度严重的“可蠕虫”漏洞(在CVSS规模下的严重等级为十分之十),影响了2003至2019年

的Windows Server版本。已有17年历史的远程代码执行漏洞(CVE-2020- 1350),被Check Point 称为“ SigRed ”,它可能允许未经身份验证的远程攻击者获得针对目标服务器的域管理员特权,并完全控制组织的IT基础架构。

威胁参与者可以通过将精心制作的恶意DNS查询发送到Windows DNS服务器并实现任意代码执行来利用SigRed漏洞,从而使黑客能够拦截和操纵用户的电子邮件和网络流量,使服务不可用,收获用户的电子邮件。

Check Point研究人员Sagi Tzadik 在与The Hacker News共享的一份详细报告中证实,该漏洞本质上是可蠕虫的,允许攻击者发起攻击,该攻击无需任何人工干预即可从一台易受攻击的计算机传播到另一台计算机。

研究人员说:“一个单一的攻击就可以启动连锁反应,使攻击可以从易受攻击的机器传播到易受攻击的机器,而无需任何人为干预。”

“这意味着一台受感染的计算机可能是’超级传播者’,使攻击在首次被利用后的几分钟内即可传播到整个组织的网络。”

在这家网络安全公司负责地向微软披露了其发现之后,这家Windows制造商为该漏洞准备了一个补丁程序,并从今天开始作为其7月补丁程序星期二的一部分推出该漏洞,其中还包括针对其他122个漏洞的安全更新,总共有18个漏洞。列为严重,严重程度为105。

微软它没有发现证据表明该漏洞已被攻击者积极利用,并建议用户立即安装补丁。

微软表示:“ Windows DNS服务器是核心网络组件。虽然目前尚不知道主动攻击会使用此漏洞,但客户必须尽快应用Windows更新来解决此漏洞,这一点至关重要。”

制作恶意DNS响应

Check Point研究人员表示,目的是确定一个漏洞,该漏洞将使未经身份验证的攻击者攻陷Windows域环境,因此,他们专注于Windows DNS,特别是仔细研究了DNS服务器如何解析传入查询或响应。转发查询。

当DNS服务器无法解析给定域名(例如www.google.com)的IP地址,从而导致查询被转发到权威DNS名称服务器(NS)时,就会发生转发查询。

为了利用此体系结构,SigRed涉及配置域的(“ deadbeef.fun”)NS资源记录以指向恶意名称服务器(“ ns1.41414141.club”),并查询目标DNS服务器以获取该域后者解析名称服务器对与域或其子域相关的所有后续查询的响应。

使用此设置后,攻击者可能会在函数中触发整数溢出漏洞,该函数会解析转发查询的传入响应(“ dns.exe!SigWireRead”),以发送包含大于64KB 的SIG资源记录的DNS响应并诱使“在一个小的分配缓冲区上,基于堆的缓冲区溢出控制了大约64KB。”

换句话说。该漏洞的目标对象是负责为资源记录分配内存的函数(“ RR_AllocateEx”)产生大于65,535字节的结果,从而导致整数溢出,从而导致分配的结果比预期的要小得多。

但是研究人员发现,一条DNS消息的UDP限制为512字节(如果服务器支持扩展机制,则限制为4,096字节),而TCP 限制为65,535字节,研究人员发现,仅带有长签名的SIG响应不足以触发此漏洞。

为了实现这一目标,攻击巧妙地利用了DNS响应中的DNS名称压缩功能,从而利用上述技术将缓冲区大小增加了很多,从而产生了缓冲区溢出。

缺陷的远程利用

那不是全部。在有限的情况下(例如Internet Explorer和非基于Chromium的Microsoft Edge浏览器),可以通过浏览器远程触发SigRed,从而使攻击者可以滥用Windows DNS服务器对连接重用和查询管道功能的支持来“走私” DNS查询访问受其控制的网站时,将HTTP请求有效内容发送到目标DNS服务器。

此外,可以通过破坏DNS资源记录的元数据来进一步利用该漏洞来泄漏内存地址,甚至可以实现“ 在哪里写”功能,从而使对手能够劫持执行流并导致其执行意外指令。

令人惊讶的是,DNS客户端(“ dnsapi.dll”)不容易受到同一错误的影响,从而使研究人员怀疑“ Microsoft为DNS服务器和DNS客户端管理两个完全不同的代码库,并且不同步它们之间的错误补丁。 ”。

考虑到该漏洞的严重性和主动利用的可能性很高,建议用户修补受影响的Windows DNS服务器以减轻风险。

作为一种临时解决方法,可以将DNS消息的最大长度(通过TCP)设置为“ 0xFF00”,以消除缓冲区溢出的机会:

reg添加“ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters” / v“ TcpReceivePacketSize” / t REG_DWORD / d 0xFF00 / f

净停止DNS &&净启动DNS

Check Point的Omri Herscovici告诉The Hacker:“ DNS服务器泄露是一件非常严重的事情。在大多数情况下,它使攻击者离破坏整个组织仅一英寸之遥。这些漏洞类型中只有极少数已经发布。”新闻。

“如果不及时修补,使用Microsoft基础结构的每个组织,无论大小,都将面临主要的安全风险。该风险将完全破坏整个公司网络。”

 

*编译:Domino

*来自:thehackernews