云计算安全企业Wiz在本周举行的黑帽大会上,披露了一个有关DNS的安全漏洞,使用新颖的手法来挟持DNS服务供应商的节点,以窃听DNS流量,进而描绘出连接DNS服务的组织内部网络架构。尽管该漏洞被Wiz视为属于“国际水域”,也即是个三不管地带,但包括Amazon及Google都先行着手修补了相关漏洞。
图片来源_黑帽大会
Wiz说明,DNS托管服务是个自助式的平台,允许客户更新其域名名称及其所指向的名称服务器,客户得以添加任何想要的域名名称,而且不会验证域名名称的所有人。此次Wiz团队则在拥有2,000个DNS服务器的Amazon Route53上进行测试,于Route53上注册了一个与其官方DNS服务器同名的名称服务器,准确地说,是在AWS的名称服务器上创建一个新的托管区域,并以AWS的DNS服务器命名。
这使得Wiz取得了该托管区域的部分控制权,并将它指向Wiz自家的IP地址。于是,只要DNS客户向该名称服务器进行查询,相关的流量便会直接跳转至Wiz。
之后Wiz即开始接收到来自全球超过100万个独立终端的大量查询流量,这些流量来自全球1.5万个组织,涉及Fortune 500企业与上百个政府机构,除了发现它们是来自于Windows机器的动态DNS流量之外,流量也透露出这些组织的内/外IP地址、计算机名称、员工名称,以及办公室位置。
Wiz的研究主管Shir Tamari表示,借由分析这些流量,他们得以取得一家全球最大服务企业的全球员工与办公室位置,还发现有些企业在伊朗及缅甸设有办公室,违反了美国外国资产控制办公室(Office of Foreign Assets Control,OFAC)的规定。
该漏洞现身的原因之一是Windows所提供的动态DNS设置,让Windows设备得以自动更新变更IP地址的DNS服务器,只是当Wiz向微软通报时,微软却说这并不是一个安全漏洞,而是客户在部署外部DNS解析器的配置错误。
不过,包括Amazon Route53与Google Cloud DNS都已修补了该问题,只是其它DNS平台仍旧处于该风险中。
Wiz则建议各大组织应该要妥善地配置其DNS解析器,以避免动态DNS更新泄露其内部网络状态。