微软警告17岁的“可恶”漏洞

自从WannaCry和NotPetya三年多前进入互联网以来，安全行业仔细审查了每一个新的Windows漏洞，这些漏洞可能被用来制造类似的震撼世界的蠕虫。现在，微软在域名系统协议的实现中出现了一个潜在的易受攻击的漏洞--这意味着攻击可以从一台机器传播到另一台机器，而无需人工交互。域名系统协议是互联网的基本组成部分之一。

作为周二补丁批量软件更新的一部分，微软今天发布了对以色列安全公司Check Point发现的漏洞的修复，该公司的研究人员将该漏洞命名为SigRed。SigRed漏洞利用Windows DNS，这是将域名转换为IP地址的最流行的DNS软件之一。Windows DNS几乎运行在世界上每个中小型组织的DNS服务器上。Check Point说，这个漏洞在该软件中已经存在了不寻常的17年。

Check Point和微软警告称，该漏洞非常严重，通用漏洞评分系统的评分为10分(满分10分)，这是行业标准的严重程度评级。不仅漏洞容易滋生，Windows DNS软件还经常在功能强大的服务器上运行，这些服务器被称为域控制器，负责为网络设置规则。这些机器中的许多都特别敏感；在一台机器上站稳脚跟，将允许进一步渗透到组织内的其他设备。

最重要的是，Check Point漏洞研究负责人欧姆里·赫斯科维奇(Omri Herscovici)表示，在某些情况下，Windows DNS漏洞可以在目标用户不采取任何行动的情况下被利用，从而制造出无缝而强大的攻击。它不需要交互。不仅如此，一旦您进入运行Windows DNS服务器的域控制器，将您的控制扩展到网络的其余部分真的很容易，Omri Herscovici说。游戏基本上结束了。

Check Point在Windows DNS的处理特定数据的部分中发现了SigRed漏洞，该数据是更安全的DNS版本(称为DNSSEC)中使用的密钥交换的一部分。可以恶意创建一条数据，使得Windows DNS允许黑客覆盖他们无权访问的内存块，最终在目标服务器上获得完全远程代码执行。(Check Point表示，微软要求该公司不要公布该技术其他要素的太多细节，包括它如何绕过Windows服务器上的某些安全功能。)。

对于Check Point的赫斯科维奇描述的远程、无交互版本的攻击，目标DNS服务器必须直接暴露在互联网上，这在大多数网络中是很少见的；管理员通常在他们保留在防火墙后面的服务器上运行Windows DNS。但赫斯科维奇指出，如果黑客可以通过访问公司Wi-Fi或将计算机插入公司LAN来访问本地网络，他们就可以触发相同的DNS服务器接管。也有可能通过网络钓鱼电子邮件中的一个链接来利用该漏洞：欺骗目标点击该链接，他们的浏览器将在DNS服务器上启动相同的密钥交换，使黑客能够完全控制该链接。

Check Point仅演示了它可以使用该网络钓鱼技巧使目标DNS服务器崩溃，而不是劫持它。但美国国家安全局(National Security Agency，简称NSA)前黑客、Rendition Infosec创始人杰克·威廉姆斯(Jack Williams)表示，这一钓鱼伎俩很可能会被巧妙地利用，从而在绝大多数没有在其防火墙上拦截出站流量的网络中，完全控制目标DNS服务器。威廉姆斯说，通过精心设计，你可能会瞄准防火墙后面的DNS服务器。

Williams说，虽然许多大型组织使用在Linux服务器上运行的DNS的BIND实现，但较小的组织通常运行Windows DNS，因此数以千计的IT管理员可能需要急于修补SigRed漏洞。而且由于SigRed漏洞自2003年起就存在于Windows DNS中，因此该软件的几乎每个版本都存在漏洞。

虽然这些组织很少将他们的Windows DNS服务器暴露在互联网上，但Check Point和威廉姆斯都警告说，自新冠肺炎疫情开始以来，许多管理员已经对网络进行了架构更改-往往是有问题的更改-以更好地允许员工在家工作。这可能意味着更多公开的Windows DNS服务器可供完全远程攻击。威廉姆斯说，近几个月来，暴露在互联网上的东西的威胁格局急剧上升。

Check Point说，好消息是，考虑到触发漏洞所需的嘈杂通信，检测Windows DNS服务器的SigRed攻击相对容易。该公司表示，尽管SigRed在Windows DNS中已经存在了17年，但到目前为止，它还没有发现任何针对其客户网络的攻击迹象。赫斯科维奇说：我们不知道有没有人在使用它，但如果他们使用了，希望现在它会停止。但至少在短期内，微软的补丁也可能导致对漏洞的更多利用，因为黑客对补丁进行反向工程，以发现漏洞到底是如何触发的。

Check Point的赫斯科维奇认为，SigRed漏洞应该像EternalBlue和BlueKeep等老式Windows黑客技术利用的漏洞一样受到重视。这两种Windows开发方法都引起了人们的警觉，因为它们有可能在互联网上从一台机器传播到另一台机器。虽然BlueKeep除了一些加密货币挖掘之外，从未导致蠕虫或任何大规模黑客事件，但EternalBlue被整合到2017年春夏肆虐全球网络的WannaCry和NotPetya蠕虫中，成为历史上破坏性最大的两种计算机蠕虫。赫斯科维奇说：我会把它与BlueKeep或EternalBlue相提并论。如果这个漏洞被利用，我们可能会得到一个新的WannaCry。

但Rendition Infosec的威廉姆斯认为，SigRed漏洞更有可能被用于有针对性的攻击。威廉姆斯说，大多数SigRed技术可能不太可靠，因为Windows称为控制流保护的缓解措施有时可能会导致机器崩溃，而不是被劫持。而且完全暴露的Windows DNS服务器相对较少，因此易受蠕虫攻击的计算机数量无法与BlueKeep或EternalBlue相提并论。利用SigRed的网络钓鱼技术几乎不会把自己传染给蠕虫，因为它需要用户点击一个链接。

然而，SigRed可以作为更有鉴别力的黑客的强大工具。这意味着Windows管理员应该立即为其打补丁。威廉姆斯说：从技术上讲，它是可以蠕虫的，但我不认为会有基于这种机制的蠕虫。但在我看来，资金雄厚的对手会利用这一点，这一点在我心目中是毋庸置疑的。

👁如果处理得当，人工智能可以使警务更加公平。另外：获取最新的人工智能新闻。

苹果(📱)在最新款手机之间左右为难？永远不要害怕-查看我们的iPhone购买指南和最喜欢的Android手机