July 2020 Archives

SIGRed

gamzatti
Vote 0 Votes

久しぶりにWindows系で大きそうな脆弱性CVE-2020-1350 (SIGRed)が出ました。

初めはフェイクのPoCしか出ていませんでしたが、今日、本当に動くPoCが出たことを教えてもらい、検証してみました。

攻撃の仕組みはPoCのREADMEに詳しく書かれています。

要約すると、攻撃者は悪意ある権威DNSサーバを立て、ターゲットのDNSサーバに、悪意あるDNSサーバが管理するドメイン名を問い合わせます。

その応答が細工されており、ターゲットのDNSサーバがその応答を処理する際に、DNSサービスがクラッシュしてしまうというものです。

上記から分かるように、影響を受けるのは上位のDNSサーバに問い合わせを行うDNSサーバ(キャッシュDNSサーバのような動きをするもの)になります。

更に、攻撃を成立させるためには、攻撃者はターゲットに対してDNSクエリを投げられる必要があります。

ADドメインを解決するDNSサーバや、キャッシュDNSサーバはインターネットには出ていないと思いますし、影響は限定されているのではないかと思います。

CVSSも高く、ADサーバならDNSサーバを有効にしていることが多いので焦った方もいると思いますが、攻撃成立には条件がありますので、個人的には超緊急というレベルではないと思います。

とはいえ、組織に侵入した攻撃者がWindows Serverを攻撃するために悪用する可能性もありますし、今後新たな攻撃コードが出る可能性もありますので、

重要なサーバにはパッチを適用したり、回避策を適用するのがベターと思います。

やはり、この辺りの攻撃成立の条件や、影響などは、実際にPoCを検証してみないと分からないと、改めて実感しました。

About this Archive

This page is an archive of entries from July 2020 listed from newest to oldest.

June 2020 is the previous archive.

September 2020 is the next archive.

Find recent content on the main index or look in the archives to find all content.