微软(Microsoft)周二发布了一个修补程式,修复了 Windows 网域名称系统(Domain Name System,DNS)中长期存在的重大瑕疵。这个修补程式与周二例行 Windows 更新一起搭配释出,并修复了由以色列安全公司 Check Point 所发现的 SigRed 漏洞。
DNS 就像电话簿,而你的 IP 位址就像是你的电话号码。网络服务供应商会为每台电脑分配唯一的 IP 位址,DNS 会将域名转换为 IP 位址。这就像在电话簿上一找到最好朋友的名字,然后就点击通话按钮一样。透过电话和电话号码你才可以连系他人。同样的,DNS 也是有必要的,浏览器可以借由它载入网站。漏洞不仅利用 Windows DNS 漏洞,它本身还是个“可让蠕虫繁殖”(wormable)的瑕疵,这意味着它可以经由 DNS 从一台电脑散播到另一台电脑上。
SigRed 被评为最高风险的 10 分,不诱使受害者点击也能发动攻击
Check Point 和微软都认为这是一个重大的漏洞,该漏洞被通用漏洞评分系统(Common Vulnerability Scoring System,CVSS,为评估电脑安全问题的产业标准)评为最高风险的 10 分。由于世界上几乎每家中小企业组织都使用了 Windows DNS,所以这显然是一个重大问题,不仅如此,该漏洞问题被忽略了整整 17 个年头,所以问题绝对比想像中更加严重。
这个特殊的安全漏洞位于能加强 DNS 身份认证的 Windows DNS 安全扩展(Domain Name System Security Extensions,DNSSEC)。如果没有 DNSSEC,骇客会更容易拦截到 DNS 查询,并将你重定向到一个可能诱骗你输入个人资讯(例如信用卡号或社会安全号码)并窃取你的身份资讯的假网站。使用 Windows DNS 的中小型线上零售企业特别容易受到 SigRed 漏洞攻击的危害。
如果这还不够糟糕的话,Check Point 漏洞研究负责人 Omri Herscovici 表示,骇客可以在不诱使目标使用者采取任何行动的情况下发动 Windows DNS 漏洞攻击。遭骇的人们甚至完全意识不到骇客已经获得了网络存取权与服务器控制权。“一旦进入运行 Windows DNS 服务器的网域控制器,那么骇客要控制网络其他部分就会变得非常容易了。”Herscovici 指出。
居家办公增加 SigRed 攻击风险,严重程度堪比 WannaCry
想要远端发动攻击,那么目标 DNS 服务器必须直接暴露在 Internet 才行。Herscovici 表示,要达到这点并不容易,因为大多数管理员会将 Windows DNS 运行在防火墙之后。但事与愿违的,骇客只要能存取公司的 Wi-Fi 或区网的话,他们仍然可以接管该服务器。Check Point 并警告指出,任何在 COVID-19 大流行期间对其网络架构进行修改以便让员工得以居家办公的公司,都可能无意中使自己陷入易受攻击的风险。
虽然截至目前止尚无 SigRed 漏洞攻击的案例发生,最重要的是要尽快为你的服务器与 PC 更新漏洞修补程式。Herscovici 甚至将 SigRed 与 2017 年的 WannaCry 勒索软件加密蠕虫攻击相提比论,后者专以 Windows 电脑为目标,透过锁住电脑来要求被害者以加密货币支付赎金(300~600 美元)。WannaCry 大爆发虽然只持续了 4 天之久,但却对 150 个国家包括医院、学校、企业和家庭在内共 20 多万台电脑造成影响。甚至有许多支付赎金也不能解锁电脑的悲惨案例。
- Stop What You’re Doing and Patch the Windows Bug That Took Microsoft 17 Years to Fix
(首图来源:微软)
