DNS漏洞使國家級間諜活動像注冊域一樣簡單

一種涉及使用特定名稱注冊域的新域名系統 (DNS) 攻擊方法可用于研究人員所描述的“國家級間諜活動”。

Wiz首席技術官Ami Luttwak和Shir Tamari于上周在拉斯維加斯舉行的Black Hat網絡安全會議上公布展示了他們發現的一類新漏洞，這些漏洞暴露了來自全球數百萬個端點的寶貴動態DNS數據。DNS(域名服務)是互聯網的基礎之一，是一個極其復雜和分散的系統，其核心是將可讀域名轉換為數字IP地址。

Black Hat有一項令人自豪的DNS研究傳統，最著名的是在2008年，已故偉大的丹·卡明斯基通過揭露互聯網的一些基本缺陷阻止了互聯網世界末日。一般來說，從那時起，DNS變得更加安全了。盡管如此，DNS漏洞通常很關鍵，因為它們使全球數十億設備處于危險之中。

如今，托管DNS 提供商(例如 Amazon Route53、Google Cloud DNS 和 Akamai等)的興起以及遠程工作的無處不在，正在為這一為世界設計的數十年歷史的協議結構中延伸并撕裂新的漏洞員工和服務器都在“本地”。

我們收到了哪些流量？

他們在對Amazon Route 53(一種提供給 AWS 用戶的云DNS Web服務)進行分析時發現了這種攻擊方法。Route 53提供大約2000個DNS服務器，其名稱如ns-852.awsdns-42.net。Wiz研究人員發現，如果他們將域鏈接到他們控制的服務器的IP地址，則注冊具有此類名稱的域并將其添加到Route 53中的具有相同名稱的DNS服務器會產生一些有趣的結果。

研究人員解釋說：“每當DNS客戶端向該名稱服務器查詢自身信息時（數千臺設備會自動更新其托管網絡中的IP地址），流量將直接發送到我們的IP地址。”在他們的Black Hat演講之后發表的一篇博文說道。

他們聲稱已收到來自15000多個組織的DNS流量，其中包括財富500強公司、45個美國政府機構和85個來自其他國家/地區的政府機構。截獲的數據包括內部和外部IP地址、計算機名稱、用戶名和辦公地點。

此數據包含在來自Windows設備的動態DNS流量。據研究人員稱，該問題與 Windows設備IP地址更改時用于查找和更新主DNS服務器的算法有關。

為什么我們會收到這樣的流量？

簡短的回答是，Microsoft機器使用獨特的算法來查找和更新IP地址更改時的主DNS服務器。最終該算法將查詢被劫持的域名服務器以獲得它自己的地址。結果？由于我們已將該服務器定向到我們的惡意IP地址，因此我們開始接收所有查詢流量。

為了更好地理解這一點，假設一名Wiz員工決定在家工作 - 就像我們大多數人最近一樣 - 并連接到他們的家庭WiFi。他們的工作筆記本電腦從他們的家用路由器獲得一個內部IP地址，并會嘗試找到公司的本地主服務器以使用這個新地址更新它。

最終，端點將嘗試更新主服務器，這是一個管理數千個客戶的AWS共享服務器。AWS名稱服務器不支持動態DNS更新，因此更新請求將失敗。

到目前為止，Microsoft算法完全按預期工作，此時它應該停止并放棄更新主服務器。但事實并非如此——這就是問題出現的地方。微軟并沒有放棄，而是嘗試以另一種方式找到主DNS服務器。下一步將檢查 Wiz 的名稱服務器是否有主服務器的記錄。  

AWS的名稱服務器使用我們提供的IP地址進行響應，在本例中為1.3.3.7。這是Windows端點發送動態更新的地方……無意中將其內部 IP 地址、計算機名稱和其他信息泄露到我們的惡意DNS服務器。

如何使用這些數據？

“[泄露的流量]讓任何人都可以鳥瞰公司和政府內部發生的事情。我們將其比作擁有民族國家級的間諜能力——而且獲得它就像注冊一個域一樣容易，”研究人員說。

為了證明此類攻擊的潛在影響，他們使用收集到的數據根據從40000多臺計算機收到的流量繪制了一家大型服務公司員工的位置圖。

他們聲稱，這種位置映射還使他們能夠確定一家大型商品貿易公司和一家大型信用合作社的子公司顯然在受美國制裁的國家/地區擁有員工，這將違反這些制裁。

誰負責解決問題？

在得知這個問題后，亞馬遜和谷歌實施了修復，但Wiz認為其他DNS提供商也可能存在漏洞，這意味著此類攻擊仍然可能發生。

微軟也收到了通知，但這家科技巨頭表示，這是“組織使用外部DNS解析器時發生的已知錯誤配置”，而不是漏洞。

Wiz表示，雖然服務提供商可以采取一些措施來防止此類事件發生，但組織可以通過確保正確配置DNS解析器以防止動態DNS更新離開內部網絡來防止此類數據泄漏。