vpn
Well-Known Member
-
10/09/2019
-
20
-
52 bài viết
Lỗ hổng máy chủ DNS cho phép hacker lấy cắp thông tin tổ chức
Các nhà nghiên cứu bảo mật tại Wiz đã phát hiện một lỗ hổng DNS mới ảnh hưởng đến các nhà cung cấp dịch vụ DNS-as-a-Service (DNSaaS), có thể cho phép kẻ tấn công truy cập thông tin nhạy cảm từ mạng máy tính của công ty.
Các nhà cung cấp DNSaaS (còn được gọi là nhà cung cấp dịch vụ DNS thuê ngoài – Managed DNS provider) cung cấp dịch vụ thuê DNS cho các tổ chức không muốn tự quản lý và bảo mật tài sản mạng.
Như tiết lộ tại Hội nghị bảo mật Black Hat của các nhà nghiên cứu Shir Tamari và Ami Luttwak của công ty bảo mật điện toán đám mây (Cloud Securty) Wiz, những lỗ hổng DNS này giúp tin tặc có cơ hội thu thập thông tin tình báo quốc gia bằng một cách đơn giản là đăng ký tên miền.
Dữ liệu bị rò rỉ bao gồm:
- Địa chỉ IP Internal và External IP
- Thiết bị máy tính của nhân viên
- NTLM / Kerberos Tickets
Từ đăng ký tên miền đến thoải mái việc ‘nghe lén’ lưu lượng truy cập
Quá trình khai thác khá đơn giản: các nhà nghiên cứu họ đã đăng ký một tên miền và sử dụng nó để chiếm đoạt (hijack) nameserver của nhà cung cấp DNSaaS (Amazon Route 53), điều này cho phép họ ‘nghe lén’ được luồng lưu lượng DNS động từ mạng máy tính của khách hàng Route 53.
Các nhà nghiên cứu của Wiz đã tìm thấy một lỗ hổng đơn giản cho phép bắt chặn. Lưu lượng DNS động mà các nhà nghiên cứu họ 'nghe lén' đến từ hơn 15.000 tổ chức, bao gồm các công ty trong danh sách Fortune 500, 45 cơ quan chính phủ Hoa Kỳ và 85 cơ quan chính phủ quốc tế.
Dữ liệu thu thập được bao gồm từ tên và vị trí của nhân viên/máy tính đến các thông tin nhạy cảm liên quan đến cơ sở hạ tầng của tổ chức, thậm chí cả thông tin về các thiết bị mạng kết nối với Internet.
Trong ví dụ được đưa ra, các nhà nghiên cứu đã lập bản đồ vị trí văn phòng của một trong những công ty dịch vụ lớn nhất thế giới bằng cách sử dụng lưu lượng mạng nhận được từ 40.000 endpoint của công ty đó.
Thông tin được thu thập theo cách này sẽ làm cho việc xâm nhập mạng máy tính trở nên dễ dàng hơn rất nhiều, bởi hacker có được "cái nhìn tổng quát về những gì đang xảy ra bên trong các công ty và chính phủ" từ đó tiến hành những hành động gián điệp cấp quốc gia".
Các nhà nghiên cứu cho biết chưa tìm thấy bằng chứng cho thấy lỗ hổng đã bị khai thác trong thực tế, tuy nhiên nhấn mạnh bất kỳ ai có kiến thức và kỹ năng "đều có thể đã và đang thu thập dữ liệu mà không bị phát hiện trong suốt hơn một thập kỷ qua".
"Tác động là rất lớn. Trong số 6 nhà cung cấp DNSaaS lớn mà chúng tôi đã kiểm tra, có 3 nhà cung cấp đứng trước nguy cơ bị tấn công qua dễ bị đăng ký nameserver", các nhà nghiên cứu phát biểu tại Black Hat. Bất kỳ nhà cung cấp dịch vụ cloud, đăng ký tên miền và máy chủ web nào cung cấp DNSaaS đều có thể dễ bị tấn công.
Điều khiến mọi thứ tồi tệ hơn, trong khi hai trong số các nhà cung cấp DNS lớn (Google và Amazon) đã vá khắc phục các lỗi này thì các nhà cung cấp còn lại vẫn còn khả năng bị tấn công, khiến hàng triệu thiết bị có thể trở thành nạn nhân.
Hơn nữa, không rõ ai sẽ sửa lỗi DNS quan trọng này. Microsoft, công ty nắm trong tay khả năng điều chỉnh thuật toán DNS động cho phép các thiết bị đầu cuối của Windows rò rỉ lưu lượng mạng nội bộ đến các máy chủ DNS độc hại, phản hồi tới Wiz rằng đây không phải là một lỗ hổng.
Như Microsoft đã giải thích, lỗ hổng này là "vấn đề cấu hình sai đã biết xảy ra khi một tổ chức làm việc với các trình phân giải DNS bên ngoài."
Redmond đã đưa ra biện pháp nên sử dụng các tên và vùng DNS riêng biệt cho các máy chủ bên trong và bên ngoài để tránh xung đột DNS và các vấn đề mạng, đồng thời cung cấp tài liệu chi tiết về cách định cấu hình đúng các bản cập nhật tự động DNS trong Windows.
Các nhà cung cấp DNSaaS có thể khắc phục sự cố chiếm quyền điều khiển nameserver bằng cách tuân thủ chính xác thông số kỹ thuật "tên dành riêng" của RFC, cũng như xác minh quyền sở hữu và xác thực miền trước khi cho phép khách hàng của họ thực hiện đăng ký.
Các công ty thuê máy chủ DNS cũng có thể thực hiện các thay đổi để bảo vệ lưu lượng mạng nội bộ không bị rò rỉ thông qua các bản cập nhật DNS động bằng cách sửa đổi bản ghi Start-of-Authority (SOA) mặc định. Thông tin bổ sung và chi tiết kỹ thuật có sẵn trong báo cáo do Wiz đăng tải vào thứ Tư, và các slide thuyết trình của Black Hat có thể xem tại đây.
Các nhà cung cấp DNSaaS (còn được gọi là nhà cung cấp dịch vụ DNS thuê ngoài – Managed DNS provider) cung cấp dịch vụ thuê DNS cho các tổ chức không muốn tự quản lý và bảo mật tài sản mạng.
Như tiết lộ tại Hội nghị bảo mật Black Hat của các nhà nghiên cứu Shir Tamari và Ami Luttwak của công ty bảo mật điện toán đám mây (Cloud Securty) Wiz, những lỗ hổng DNS này giúp tin tặc có cơ hội thu thập thông tin tình báo quốc gia bằng một cách đơn giản là đăng ký tên miền.
Dữ liệu bị rò rỉ bao gồm:
- Địa chỉ IP Internal và External IP
- Thiết bị máy tính của nhân viên
- NTLM / Kerberos Tickets
Từ đăng ký tên miền đến thoải mái việc ‘nghe lén’ lưu lượng truy cập
Quá trình khai thác khá đơn giản: các nhà nghiên cứu họ đã đăng ký một tên miền và sử dụng nó để chiếm đoạt (hijack) nameserver của nhà cung cấp DNSaaS (Amazon Route 53), điều này cho phép họ ‘nghe lén’ được luồng lưu lượng DNS động từ mạng máy tính của khách hàng Route 53.
Các nhà nghiên cứu của Wiz đã tìm thấy một lỗ hổng đơn giản cho phép bắt chặn. Lưu lượng DNS động mà các nhà nghiên cứu họ 'nghe lén' đến từ hơn 15.000 tổ chức, bao gồm các công ty trong danh sách Fortune 500, 45 cơ quan chính phủ Hoa Kỳ và 85 cơ quan chính phủ quốc tế.
Dữ liệu thu thập được bao gồm từ tên và vị trí của nhân viên/máy tính đến các thông tin nhạy cảm liên quan đến cơ sở hạ tầng của tổ chức, thậm chí cả thông tin về các thiết bị mạng kết nối với Internet.
Trong ví dụ được đưa ra, các nhà nghiên cứu đã lập bản đồ vị trí văn phòng của một trong những công ty dịch vụ lớn nhất thế giới bằng cách sử dụng lưu lượng mạng nhận được từ 40.000 endpoint của công ty đó.
Thông tin được thu thập theo cách này sẽ làm cho việc xâm nhập mạng máy tính trở nên dễ dàng hơn rất nhiều, bởi hacker có được "cái nhìn tổng quát về những gì đang xảy ra bên trong các công ty và chính phủ" từ đó tiến hành những hành động gián điệp cấp quốc gia".
Các nhà nghiên cứu cho biết chưa tìm thấy bằng chứng cho thấy lỗ hổng đã bị khai thác trong thực tế, tuy nhiên nhấn mạnh bất kỳ ai có kiến thức và kỹ năng "đều có thể đã và đang thu thập dữ liệu mà không bị phát hiện trong suốt hơn một thập kỷ qua".
"Tác động là rất lớn. Trong số 6 nhà cung cấp DNSaaS lớn mà chúng tôi đã kiểm tra, có 3 nhà cung cấp đứng trước nguy cơ bị tấn công qua dễ bị đăng ký nameserver", các nhà nghiên cứu phát biểu tại Black Hat. Bất kỳ nhà cung cấp dịch vụ cloud, đăng ký tên miền và máy chủ web nào cung cấp DNSaaS đều có thể dễ bị tấn công.
Điều khiến mọi thứ tồi tệ hơn, trong khi hai trong số các nhà cung cấp DNS lớn (Google và Amazon) đã vá khắc phục các lỗi này thì các nhà cung cấp còn lại vẫn còn khả năng bị tấn công, khiến hàng triệu thiết bị có thể trở thành nạn nhân.
Hơn nữa, không rõ ai sẽ sửa lỗi DNS quan trọng này. Microsoft, công ty nắm trong tay khả năng điều chỉnh thuật toán DNS động cho phép các thiết bị đầu cuối của Windows rò rỉ lưu lượng mạng nội bộ đến các máy chủ DNS độc hại, phản hồi tới Wiz rằng đây không phải là một lỗ hổng.
Như Microsoft đã giải thích, lỗ hổng này là "vấn đề cấu hình sai đã biết xảy ra khi một tổ chức làm việc với các trình phân giải DNS bên ngoài."
Redmond đã đưa ra biện pháp nên sử dụng các tên và vùng DNS riêng biệt cho các máy chủ bên trong và bên ngoài để tránh xung đột DNS và các vấn đề mạng, đồng thời cung cấp tài liệu chi tiết về cách định cấu hình đúng các bản cập nhật tự động DNS trong Windows.
Các nhà cung cấp DNSaaS có thể khắc phục sự cố chiếm quyền điều khiển nameserver bằng cách tuân thủ chính xác thông số kỹ thuật "tên dành riêng" của RFC, cũng như xác minh quyền sở hữu và xác thực miền trước khi cho phép khách hàng của họ thực hiện đăng ký.
Các công ty thuê máy chủ DNS cũng có thể thực hiện các thay đổi để bảo vệ lưu lượng mạng nội bộ không bị rò rỉ thông qua các bản cập nhật DNS động bằng cách sửa đổi bản ghi Start-of-Authority (SOA) mặc định. Thông tin bổ sung và chi tiết kỹ thuật có sẵn trong báo cáo do Wiz đăng tải vào thứ Tư, và các slide thuyết trình của Black Hat có thể xem tại đây.
Nguồn: bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: