Trong các pentest lab Windows và Active Directory chúng ta thường dùng minikart, powershell empira … để post attack. Ngoài ra, các bạn thử tìm hiểu bề mặt tấn công qua CVE 2020-1350 .

Microsoft đã vá một lỗ hổng nghiêm trọng có tuổi đời 17 năm trên Windows DNS Server có thể bị kích hoạt bởi kẻ tấn công bằng phản hồi DNS độc hại. Windows DNS Server là một phần thiết yếu của môi trường Windows Domain và chạy các truy vấn DNS trên Windows Server.

Lỗ hổng được đặt tên là SIGRed ( CVE-2020-1350 ) có điểm CVSS 10/10 và có thể được kích hoạt bởi kẻ tấn công với phản hồi DNS độc hại.

SIGRed (CVE-2020-1350)

Lỗ hổng bảo mật DNS trong Windows DNS được Check Point phát hiện và báo cáo cho Microsoft hồi tháng 5/2020. Hiện đã có bản vá cho các phiên bản Máy chủ Windows được hỗ trợ.

Các nhà nghiên cứu đã tìm thấy một tràn số nguyên dựa trên “dns.exe! SigWireRead,” với chức năng phân tích cú pháp các truy vấn SIG.

SIG “Bản ghi chữ ký” là loại bản ghi DNS được sử dụng trong (RFC 2931) và TKEY (RFC 2930), từ RFC 3755, RRSIG được chỉ định thay thế cho SIG để sử dụng với DNSSEC.

“Tóm lại, bằng cách gửi phản hồi DNS có chứa bản ghi SIG lớn (lớn hơn 64KB), hacker có thể gây ra tràn bộ đệm dựa trên heap được kiểm soát khoảng 64KB trên bộ đệm được cấp phát nhỏ.”

Để kích hoạt lỗ hổng, các nhà nghiên cứu đã thử đầu tiên bằng cách gửi một tin nhắn DNS 65.535 byte, nhưng phát hiện ra rằng một thông báo DNS đơn lẻ được giới hạn trong 512 byte không thể kích hoạt lỗ hổng.

Vì vậy, để đạt được cuộc tấn công, các nhà nghiên cứu đã sử dụng tính năng nén tên DNS trong phản hồi DNS để tăng kích thước của phân bổ lên một lượng lớn.

Khai thác từ xa

Lỗ hổng có thể được kích hoạt từ xa thông qua trọng tải HTTP, bằng cách “gửi payload đến máy chủ DNS mục tiêu trên cổng 53 khiến Windows DNS Server phân giải tải trọng này như thể nó là một truy vấn DNS”.

Với Google Chrome và Mozilla Firefox không cho phép yêu cầu DNS qua cổng 53, sẽ chỉ được khai thác với các trình duyệt không dựa trên Chromium như Internet Explorer và Microsoft Edge.

Microsoft quản lý cả máy khách DNS và máy chủ DNS trong hai mô-đun khác nhau, nhưng lỗ hổng chỉ nằm ở máy chủ DNS, vì phiên bản máy khách không xác thực Sig_RecordRead + D0 .

Lỗ hổng bảo mật được đánh giá là mức độ nghiêm trọng cao và khả năng bị khai thác cao. Việc khai thác thành công lỗ hổng này sẽ có tác động nghiêm trọng.

Người dùng được khuyến nghị vá các Máy chủ Windows DNS bị ảnh hưởng của họ để ngăn chặn việc khai thác lỗ hổng này.

Như một giải pháp tạm thời, Check Point đề xuất đặt độ dài tối đa của thông báo DNS (qua TCP) thành 0xFF00, điều này sẽ loại bỏ lỗ hổng bảo mật.

reg thêm “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters” / v “TcpReceivePacketSize” / t REG_DWORD / d 0xFF00 / f
net stop DNS && net start DNS

Microsoft phát hành các bản vá cho lỗ hổng SIGRed và khuyên người dùng nên vá lỗ hổng này ngay lập tức. Nếu bạn đã bật cập nhật tự động thì không cần người dùng thực hiện.

Nguồn : https://gbhackers.com/windows-dns-server/

Vậy, các bạn có thể áp dụng bug này cho các mô hình khai thác Active Directory có tích hợp DNS hay không ? Chắc chắn không có Domain Controller nào chường mặt ra internet như có nhiều DNS online chạy trên nền tảng Windows.

Chương Trình Đào Tạo CEH v11 Online https://cehvietnam.com/2021/03/10/khoa-hoc-ceh-v11-ansi-certified-ethical-hacker-online/