Akamai安全研究人員發(fā)現(xiàn)了一種濫用微軟DHCP(Dynamic Host Configuration Protocol)服務(wù)器�����,偽造DNS記錄(DNS Spoofing)的攻擊手法�����。
Akamai安全研究人員發(fā)現(xiàn)了一種濫用微軟DHCP(Dynamic Host Configuration Protocol)服務(wù)器��,偽造DNS記錄(DNS Spoofing)的攻擊手法�。攻擊者可在不需要授權(quán)的情況下,利用DHCP服務(wù)器默認(rèn)配置來(lái)偽造DNS記錄���,借以竊取敏感資訊��,甚至完全控制Active Directory域名����,而由于微軟DHCP服務(wù)器廣受采用,因此有不少組織都暴露在風(fēng)險(xiǎn)之中���。
微軟的目錄服務(wù)Active Directory提供網(wǎng)絡(luò)資源的集中式身份驗(yàn)證和授權(quán)���,其運(yùn)行極高度依賴DNS,每個(gè)域名都需要DNS�����,托管一個(gè)被稱為Active Directory集成DNS(Active Directory Integrated DNS����,ADIDNS)區(qū)域的特殊區(qū)域,ADIDNS區(qū)域托管了所有加入域名的計(jì)算機(jī)和Active Directory不同服務(wù)的DNS記錄���,而此攻擊的目標(biāo)便是ADIDNS中的DNS記錄�����。
該攻擊利用DHCP動(dòng)態(tài)更新功能來(lái)欺騙DNS記錄�。DHCP動(dòng)態(tài)更新功能是DHCP和DNS之間進(jìn)行協(xié)作的機(jī)制�����,該功能允許DHCP服務(wù)器自動(dòng)更新DNS記錄��,因此當(dāng)有一個(gè)設(shè)備連接到網(wǎng)絡(luò)中��,向DHCP服務(wù)器請(qǐng)求IP地址時(shí)�,DHCP服務(wù)器會(huì)分配一個(gè)IP地址給設(shè)備,與此同時(shí)向DNS發(fā)送包含修改數(shù)據(jù)的更新請(qǐng)求��,以確保DNS記錄可以即時(shí)反映新分配的IP地址��。
在特定的配置下���,動(dòng)態(tài)更新存在安全性問(wèn)題��,DNS可能會(huì)接受任意來(lái)源請(qǐng)求��。在使用安全更新的環(huán)境中���,DNS更新請(qǐng)求會(huì)包含計(jì)算機(jī)網(wǎng)絡(luò)授權(quán)協(xié)議Kerberos票證���,使客戶端和服務(wù)器端能夠進(jìn)行雙向認(rèn)證,但是當(dāng)攻擊者以特定方式獲取或是偽造票證�,便可以欺騙DNS接受偽造DNS更新。
但由于有訪問(wèn)控制列表(ACL)的保護(hù)�����,一般來(lái)說(shuō)DNS記錄不會(huì)被復(fù)寫(xiě)�。復(fù)寫(xiě)通常發(fā)生在DHCP服務(wù)器為管理記錄的擁有者時(shí)。例如����,當(dāng)一臺(tái)非域名內(nèi)的Ubuntu服務(wù)器要求DHCP服務(wù)器代為注冊(cè)DNS記錄時(shí),該記錄才會(huì)由DHCP服務(wù)器的機(jī)器賬戶擁有���。這種攻擊只影響由DHCP創(chuàng)建的管理記錄���,對(duì)于客戶端記錄像響有限,因?yàn)锳CL限制了這類復(fù)寫(xiě)���。
對(duì)于無(wú)法自行注冊(cè)DNS記錄的非Windows客戶端和舊版Windows客戶端�����,這種攻擊就可能發(fā)揮效果��。攻擊者可以利用微軟DHCP服務(wù)器�����,在任何ADIDNS區(qū)域中復(fù)寫(xiě)客戶端記錄����,因?yàn)楫?dāng)DHCP服務(wù)器安裝在域名控制器上時(shí)����,便可以復(fù)寫(xiě)域名控制器自己的記錄。此外�,由于域名控制器機(jī)器賬戶在DNS更新時(shí)具有對(duì)所有記錄寫(xiě)入的權(quán)限,因此攻擊者也可以利用這一點(diǎn)��,復(fù)寫(xiě)Active Directory集成區(qū)域中的任何DNS記錄�����。
此類攻擊的危險(xiǎn)性在于�,攻擊者可偽造各種類型的DNS記錄,包括域名控制器的IP地址、用戶計(jì)算機(jī)名稱和IP��,以及網(wǎng)站和服務(wù)的IP地址����。通過(guò)偽造的DNS記錄,攻擊者可以竊取諸如登錄憑證和財(cái)務(wù)數(shù)據(jù)等敏感資訊�����,執(zhí)行惡意程序代碼����,甚至是中斷網(wǎng)絡(luò)服務(wù)等。還能將域名控制器的IP指向惡意網(wǎng)站�,在用戶嘗試連接域名控制器時(shí),被導(dǎo)向惡意網(wǎng)站����。
由于微軟DHCP服務(wù)器是一個(gè)常見(jiàn)的選擇,根據(jù)Akamai的估計(jì)��,約有40%的數(shù)據(jù)中心網(wǎng)絡(luò)使用微軟DHCP服務(wù)器�����。研究人員提到,雖然微軟在其文件中告知了這類風(fēng)險(xiǎn)��。但是這類配置風(fēng)險(xiǎn)在微軟DHCP服務(wù)器網(wǎng)絡(luò)中經(jīng)常見(jiàn)��,且默認(rèn)情況下就容易被攻擊���。
閩公網(wǎng)安備 35010202001226號(hào)
