DNS漏洞影响多个DNSaaS平台
2021-08-09 12:50:00 Author: www.4hou.com(查看原文) 阅读量:52 收藏

Wiz安全研究人员发现了一种新的DNS漏洞,影响多个大的DNS即服务(DNSaaS,DNS-as-a-Service)提供商,攻击者利用该漏洞可以从企业网络访问敏感信息。

漏洞分析

谷歌、微软、亚马逊等DNSaaS提供商都向其他企业和组织提供DNS租赁服务。Wiz安全研究人员在DNS中发现一个漏洞,攻击者利用该漏洞可以拦截通过管理DNS提供商服务器的的动态DNS流量。该问题产生的本质原因是DNS解析器的非标准实现引发的,加上DNS服务提供商侧的特定情况会引发企业内部网络信息泄露。拦截或泄露的信息包括内部和外部IP地址、计算机名以及NTLM / Kerberos ticket。

image.png

漏洞利用的过程非常简单。只需要注册一个域名并用该域名来劫持DNSaaS 提供商的域名服务器,然后就可以劫持该域名域名网络上的动态DNS流量。研究人员在实验中监听到的数据包括雇员名、计算机名、位置等与企业基础设施相关的高度敏感信息。

研究人员在几个小时的DNS嗅探实验中接收到了来自包括财富500强企业、45家美国政府机构、85个国家政府机构在内的15000个企业的992597个Windows终端的动态DNS流量。在部分企业中,有超过20000台终端泄露了企业的相关信息。

漏洞影响

研究人员目前还尚未发现该DNS漏洞之前被利用的证据。但是该漏洞的影响非常大。研究人员在分析的6个主要的DNSaaS提供商中发现3个受到域名服务器注册的影响。此外,所有提供DNSaaS的云服务提供商、域名注册商、网站主机都可能受到该漏洞的影响。

安全补丁

目前,谷歌和亚马逊这两大DNS服务提供商已经修复了漏洞,但其他厂商尚未公开修复的消息,使得上百万设备处在潜在风险中。

微软称虽然动态DNS算法允许Windows终端泄露内部网络流量给恶意DNS服务器,但这并不能算是一个安全漏洞。微软进一步解释称,该“漏洞”其实是一个企业内部DNS解析时产生的错误配置问题。

更多参见Wiz的技术分析博客:

https://www.wiz.io/blog/black-hat-2021-dns-loophole-makes-nation-state-level-spying-as-easy-as-registering-a-domain

blackhat大会演讲PPT参见:https://www.blackhat.com/us-21/briefings/schedule/#a-new-class-of-dns-vulnerabilities-affecting-many-dns-as-service-platforms-23563

本文翻译自:https://www.bleepingcomputer.com/news/security/new-dns-vulnerability-allows-nation-state-level-spying-on-companies/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/KzJl
如有侵权请联系:admin#unsafe.sh