اخبار امنیت

اولین PoC منتشر شده برای سوء‌استفاده از آسیب‌پذیری SIGRed

۲۶ تیر ۱۳۹۹

اولین PoC منتشر شده برای سوء‌استفاده از آسیب‌پذیری SIGRed

CVE-2020-1350

در پی انتشار آسیب‌پذیری بسیار خطرناک SIGRed در DNS Server ویندوز با شناسه مرجع CVE-2020-1350 اولین کد PoC برای آن توسط کاربری به نام maxpl0it در گیت‌هاب منتشر شد. هر چند این کد مخرب منجر به اجرای هیچ دستوری بر روی سرور DNS نمی‌شود اما با سوءاستفاده از آسیب‌پذیری SIGRed منجر به توقف یا بروز اختلال در عملکرد سرور DNS (حمله DoS) خواهد شد. این کد مخرب در‌ واقع یک DNS Server ساده را پیاده‌سازی می‌کند که به جستارهای UDP پاسخ می‌دهد و در صورتی که جستارها از طریق پروتکل TCP ارسال گردند سایز آن‌ها را بسیار بزرگ‌تر می‌کند و بدین ترتیب منجر به اختلال عملکرد سرور DNS خواهد شد. در صورتی که تاکنون موفق به دریافت به‌روزرسانی‌های منتشر شده توسط مایکروسافت نشده‌اید آرمان داده پویان به شما توصیه می‌نماید هرچه سریعتر به‌روزرسانی‌های منتشر شده را نصب نمایید. این به‌روزرسانی‌ها را می‌توانید از پیوند زیر دانلود نمایید:
‏https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

مختصری از چگونگی سوءاستفاده از این آسیب‌پذیری

  • درون شبکه LAN مهاجم یک درخواست برای دامنه‌ای مخرب مانند  ۹٫evil_domain.com  ارسال می‌نماید. (این درخواست عموما برای رکوردهای SIG ارسال می‌شود.)
  • این درخواست به DNS Server آسیب‌پذیر ویندوز ارسال می‌گردد.
  • سرور آسیب‌پذیر درخواستی را برای هر DNS ارسال شده برای آن ارسال می کند. (معمولا برای IPهای گوگل ارسال می‌نماید.)
  • DNS گوگل در پاسخ nameserverهای مربوط به دامنه مخرب را ارسال می‌نماید
  • سپس سرور آسیب‌پذیر به عنوان یک DNS Client عمل کرده و یک درخواست برای DNS Server مخرب ارسال می‌نماید.
  • سپس سرور مخرب یک پاسخ با سرباری ارسال می‌نماید که از یک عدد دو بایتی سرریز می‌نماید و باعث اختصاص فضایی کوچکتر از آن چیزی که نیاز است می‌گردد.
  • در این مرحله هم سرور از کار می‌افتد.

پیکربندی‌های لازم

  • مهاجم باید دامنه‌ای را با nameserverهایی بالا بیاورد که به سرور قربانی اشاره کند.
  • سرورها را راه اندازی نماید و این اسکریپت منتشر شده را راه اندازی نماید. این اسکریپت بر روی پورت ۵۳ هم در حالت TCP و هم UDP گوش خواهد داد.
  • اگر هم مهاجم خطایی مبنی بر مشغول بودن پورت‌ها دریافت نماید با استفاده از netstat -pa می‌تواند متوجه شود چه چیزی در حال گوش کردن بر روی پورت‌های دامنه است (احتمالا system-resolved)  و مهاجم باید آن را disable+stop نماید. اگر چیزی بر روی سرور شنیده نمی‌شود باید مطمئن شود تمامی instance های این اسکریپت را قبل از راه اندازی مجدد متوقف کرده است.

بروزرسانی‌ها را هر چه سریعتر نصب نمایید

با توجه به درجه اهمیت این آسیب‌پذیری و وجود آن در ویندوز سرورهای ۲۰۰۳ تا ۲۰۱۹ و انتشار اولین PoC این آسیب‌پذیری، آرمان داده پویان به شما توصیه می‌نماید هر چه سریعتر به‌روزرسانی‌های ارائه شده را نصب نمایید.

آرمان داده پویان ارائه‌دهنده محصولات و راهکارهای امنیتی

با ما تماس بگیرید

تعداد بازدید: 102


تازه ترین ها