责任编辑:左右里、釉子
在前天美国的黑帽安全大会上,云安全公司Wiz的两名安全研究人员披露了DNS服务存在的一个安全问题,攻击者可以劫持平台的节点、拦截部分传入的DNS流量并映射客户的内部网络。该问题影响到了广大选择亚马逊、谷歌等DNS托管服务的企业客户。
企业为了不用承受DNS服务器的管理负担,或者为了更好的安全保障,常常会选择购买AWS Route53、Google Cloud Platform等托管服务。但是,部分DNS服务供应商没有将自己的DNS服务器列入黑名单,这导致的结果是攻击者可以将DNS服务商的名称服务器添加到后端,并将其指向内部网络,从而借此劫持DNS流量。不过,Wiz团队经过测试,发现并没有接收到通过服务器的所有DNS流量,只收到了动态DNS更新。动态DNS更新是指工作站在内部网络中的 IP 地址或其他详细信息发生变化时发送到 DNS 服务器的特殊 DNS 消息。这些数据包括了每个系统内部和外部的IP地址以及计算机名称。这些数据可能看上去被获取也没什么大不了,但事实上它们可以被用在多个方面。比如,可以用来确认高价值公司的内部结构、识别域控制器,从而更精准地发起网络攻击。情报机构可以利用这些数据将企业和政府机构关联起来,从中识别政府承包商。此外还能根据这些数据识别出违反了OFAC法规在伊朗等受美国制裁的国家开展业务的企业。据Wiz表示,他们发现有三家DNS服务供应商容易受到此问题危害。其中两家,亚马逊和谷歌都已经推出了更新,第三家则还在修复中。此外,Wiz怀疑可能还有十多家DNS服务商存在着类似问题。对于本次事件,研究人员将其归咎于微软Windows服务器的一个默认选项,该选项允许动态DNS更新通过本地网络传输到互联网。微软方面则建议企业客户按照其官网指示的操作防止动态DNS更新进入公共互联网。
文章来源:https://therecord.media/
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458389576&idx=2&sn=6928b68c5ec89f15163504d62911f619&chksm=b18f3cc286f8b5d4d93e2a16f773b46869cd6d5121695553fef6af656610ddb39159cbf4a236#rd
如有侵权请联系:admin#unsafe.sh