آسیب پذیری DNS با عنوان SIGRed همه سرورهای ویندوز را تهدید می کند
آسیب پذیری های اجرای کد از راه دور که بر مؤلفه های شبکه اصلی سیستم عامل ها تأثیر می گذارد، این روزها کمتر مشاهده می شود، اما وقتی این اتفاق بیفتد، صنعت فناوری اطلاعات در معرض خطر قرار گرفته است زیرا آنها جزء خطرناک ترین آسیب پذیریهایی هستند که می توانند منجر به سوء استفاده گسترده از سیستم های کامپیوتری شوند. روز سه شنبه مایکروسافت وصله ای را برای این آسیب پذیری منتشر کرد که بر سرویس Domain Name System (DNS) در ویندوز تأثیر می گذارد و از سازمانها خواست تا هرچه سریعتر این وصله را نصب کنند.
اجرای کد از راه دور wormable
آسیب پذیری DNS، به نام CVE-2020-1350، توسط محققان Check Point Software Technologies کشف شده است، که آنرا SIGRed لقب داده اند، آسیب پذیری که روی DNS SIG queries تاثیر میگذارد. این نقص حداکثر شدت CVSS را از ۱۰ نمره دریافت کرده و آن را بسیار مهم می کند و طبق گفته مایکروسافت کرم بسیار خطرناک است.
تیم امنیتی مایکروسافت در یک پست وبلاگ گفت: ” آسیب پذیری های شدید امکان گسترش از طریق بدافزار بین سیستم های کامیپوتری آسیب پذیر را بدون تعامل کاربر را دارند.” “Windows DNS Server یکی از سرویس های اصلی شبکه است. ضروری است که مشتریان برای رفع هرچه سریع تر این آسیب پذیری به روز رسانی های ویندوز را اعمال کنند.”
شایان ذکر است که این آسیب پذیری روی کارکرد سرویس Windows DNS که برای پرس و جو سرورهای DNS استفاده می شود تأثیر نمی گذارد. به همین دلیل این نقص بر روی تمامی نسخه های ویندوز سرور از سال ۲۰۰۸ تأثیر می گذارد که نقش DNS را نصب کرده اند اما روی نسخه های دسک تاپ ویندوز تأثیر نمی گذارد.
همه سرورهای ویندوز پیکربندی نشده اند که سرویس DNS را فعال کنند، اما کنترلرهای دامنه ویندوز معمولاً این کار را انجام می دهند و آنها در هسته شبکه های ویندوز قرار می گیرند. مهاجمی که با موفقیت از آسیب پذیری SIGRed بهره برداری کند می تواند کد دلخواه را در زمینه حساب LocalSystem اجرا کند و کنترل کامل بر سیستم آسیب دیده را در اختیار آنها قرار دهد. اگر این سیستم ها کنترل کننده دامنه باشند تأثیر آن روی کل شبکه اعمال می شود.
آسیب پذیری SIGRed چگونه کار می کند؟
SIGred از خطایی در عملکرد ناشی می شود که پاسخ های DNS را برای نمایش داده شد از نوع SIG تجزیه می کند، و در نتیجه سرریز بافر مبتنی بر پشته ایجاد می شود. پروتکل DNS معمولاً برای ترجمه نام دامنه به آدرسهای IP استفاده می شود که به عنوان یک رکورد A شناخته می شود. با این حال پروتکل همچنین از انواع رکوردهای دیگر، مانند MX پشتیبانی می کند که سرور تعیین شده برای رسیدگی به ایمیل است و یا حتی رکوردهای NS را شامل می شود که سرورهای DNS معتبر دامنه را تعریف می کند. SIG یک نوع رکورد است که برای ارائه امضای مرتبط با دامنه برای عملکردهای خاص استفاده می شود.
علاوه بر پاسخگویی به query های مشتری، سرورهای DNS نیز مانند خود مانند یک مشتری عمل می کنند، زیرا اگر آنها یک پاسخ را برای یک query نداشته باشند از سرورهای بالاتر سؤال می کنند. DNS یک سیستم سلسله مراتبی است و دارای ۱۳ سرور DNS ریشه است که به کل اینترنت سرویس می دهند.
برای سوءاستفاده از این آسیب پذیری، محققان Check Point به روشی برای مجبور کردن سرور DNS هدف نیاز داشتند تا یک درخواست دریافت شده از یک مشتری را به سرور DNS که کنترل کرده بود انتقال دهند تا آنها بتوانند با یک بسته نادرست به سرور محلی پاسخ دهند تا بتوانند از آسیب پذیری سوء استفاده کند.
آنها این کار را با مجبور کردن سرور هدف برای ذخیره یک رکورد NS برای دامنه ای که کنترل می کردند، انجام دادند و سپس با ارسال یک query دیگر برای یک زیر دامنه آن دامنه توانستند تا سرور محلی زیر دامنه را به سرور DNS مشخص شده در سوابق NS دامنه منتقل کند، که معتبر به نظر می رسد. از آنجا که آنها کنترل کننده سرور DNS معتبر بودند، آنها توانستند با یک exploit پاسخ دهند.
البته برای اینکار نیاز به تلاش بیشتری است، زیرا آنها همچنین نیاز به یافتن راهی برای ارسال پاسخهایی داشتند که بزرگتر از آن چیزی بودند که استاندارد DNS به طور عادی اجازه می دهد تا جریان سرریز را انجام دهند. همچنین آنها نیاز به یک کامپیوتر در همان شبکه داشتند تا بتوانند query های مربوط به آن را ارسال کنند.
یک حمله کامل SIGRed دارای مراحل زیر است:
- مهاجم به سیستمی در شبکه محلی دسترسی پیدا می کند یا یک کاربر شبکه را برای بازدید از یک صفحه وب ساخته شده ترغیب می کند.
- مهاجم یک سؤال NS را برای دامنه مورد نظر خود، مستقیماً از داخل شبکه یا از طریق مرورگر قربانی، به سرور DNS محلی ارسال می کند. سرور محلی DNS رکورد NS را کش می کند.
- مهاجم پرس و جو دیگری را ارسال می کند، این بار برای رکورد SIG برای یک زیر دامنه در دامنه مهاجم. سرور محلی DNS از سرور معتبر DNS مشخص شده در سابقه ذخیره شده NS پرس و جو می کند.
- مهاجم سرور DNS معتبر را برای دامنه کنترل می کند و به آنها امکان می دهد یک پاسخ DNS مخرب که از آسیب پذیری استفاده می کند را بازگرداند.
محققان Check Point توضیحات فنی مفصلی را در مورد کل فرآیند منتشر کردند، اما جزئیات در مورد دور زدن برخی از حافظه های خاص در ویندوز را منتشر نکردند، که این یک گام ضروری برای تبدیل جریان سرریز به منظور اجرای کد است.
رفع آسیب پذیری SIGRed
به سازمانها توصیه می شود که در اسرع وقت پچ امنیتی را که توسط مایکروسافت منتشر شده است را نصب کنند. اگر آنها نتوانند بلافاصله سیستمهای خود را بهروزرسانی کنند، می توانند یک تغییر رجیستری را به صورت دستی اعمال کنند.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
سرویس DNS لازم است که پس از این تغییر رجیستری مجدداً راه اندازی شود تا بتواند ایمن شود.
اگر به این مقاله علاقه داشتید پیشنهاد می شود مقاله: نحوه انجام ارزیابی آسیب پذیری ۵ قدم به سمت امنیت سایبری بهتر را نیز مطالعه کنید.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
119 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
183 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.67k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.16k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.38k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.55k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.