DNS漏洞影响多个DNSaaS平台
导语:新DNS漏洞影响多个DNS即服务平台。
Wiz安全研究人员发现了一种新的DNS漏洞,影响多个大的DNS即服务(DNSaaS,DNS-as-a-Service)提供商,攻击者利用该漏洞可以从企业网络访问敏感信息。
漏洞分析
谷歌、微软、亚马逊等DNSaaS提供商都向其他企业和组织提供DNS租赁服务。Wiz安全研究人员在DNS中发现一个漏洞,攻击者利用该漏洞可以拦截通过管理DNS提供商服务器的的动态DNS流量。该问题产生的本质原因是DNS解析器的非标准实现引发的,加上DNS服务提供商侧的特定情况会引发企业内部网络信息泄露。拦截或泄露的信息包括内部和外部IP地址、计算机名以及NTLM / Kerberos ticket。
漏洞利用的过程非常简单。只需要注册一个域名并用该域名来劫持DNSaaS 提供商的域名服务器,然后就可以劫持该域名域名网络上的动态DNS流量。研究人员在实验中监听到的数据包括雇员名、计算机名、位置等与企业基础设施相关的高度敏感信息。
研究人员在几个小时的DNS嗅探实验中接收到了来自包括财富500强企业、45家美国政府机构、85个国家政府机构在内的15000个企业的992597个Windows终端的动态DNS流量。在部分企业中,有超过20000台终端泄露了企业的相关信息。
漏洞影响
研究人员目前还尚未发现该DNS漏洞之前被利用的证据。但是该漏洞的影响非常大。研究人员在分析的6个主要的DNSaaS提供商中发现3个受到域名服务器注册的影响。此外,所有提供DNSaaS的云服务提供商、域名注册商、网站主机都可能受到该漏洞的影响。
安全补丁
目前,谷歌和亚马逊这两大DNS服务提供商已经修复了漏洞,但其他厂商尚未公开修复的消息,使得上百万设备处在潜在风险中。
微软称虽然动态DNS算法允许Windows终端泄露内部网络流量给恶意DNS服务器,但这并不能算是一个安全漏洞。微软进一步解释称,该“漏洞”其实是一个企业内部DNS解析时产生的错误配置问题。
更多参见Wiz的技术分析博客:
blackhat大会演讲PPT参见:https://www.blackhat.com/us-21/briefings/schedule/#a-new-class-of-dns-vulnerabilities-affecting-many-dns-as-service-platforms-23563
发表评论
提供云计算服务