SIGRed

gamzatti
Vote 0 Votes

久しぶりにWindows系で大きそうな脆弱性CVE-2020-1350 (SIGRed)が出ました。

初めはフェイクのPoCしか出ていませんでしたが、今日、本当に動くPoCが出たことを教えてもらい、検証してみました。

攻撃の仕組みはPoCのREADMEに詳しく書かれています。

要約すると、攻撃者は悪意ある権威DNSサーバを立て、ターゲットのDNSサーバに、悪意あるDNSサーバが管理するドメイン名を問い合わせます。

その応答が細工されており、ターゲットのDNSサーバがその応答を処理する際に、DNSサービスがクラッシュしてしまうというものです。

上記から分かるように、影響を受けるのは上位のDNSサーバに問い合わせを行うDNSサーバ(キャッシュDNSサーバのような動きをするもの)になります。

更に、攻撃を成立させるためには、攻撃者はターゲットに対してDNSクエリを投げられる必要があります。

ADドメインを解決するDNSサーバや、キャッシュDNSサーバはインターネットには出ていないと思いますし、影響は限定されているのではないかと思います。

CVSSも高く、ADサーバならDNSサーバを有効にしていることが多いので焦った方もいると思いますが、攻撃成立には条件がありますので、個人的には超緊急というレベルではないと思います。

とはいえ、組織に侵入した攻撃者がWindows Serverを攻撃するために悪用する可能性もありますし、今後新たな攻撃コードが出る可能性もありますので、

重要なサーバにはパッチを適用したり、回避策を適用するのがベターと思います。

やはり、この辺りの攻撃成立の条件や、影響などは、実際にPoCを検証してみないと分からないと、改めて実感しました。

No TrackBacks

TrackBack URL: http://www.reverse-edge.com/cgi-bin/mt/mt-tb.cgi/117

Leave a comment

About this Entry

This page contains a single entry by gamzatti published on July 16, 2020 3:43 PM.

新たな第一歩 was the previous entry in this blog.

Netlogonの脆弱性(CVE-2020-1472) is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.