Главная / О компании / Новости / Flowmon обнаруживает использование уязвимости Windows DNS Signed

Flowmon обнаруживает использование уязвимости Windows DNS Signed

« Назад

Flowmon обнаруживает использование уязвимости Windows DNS Signed  07.05.2021 15:35

Уязвимость под названием SIGRed (CVE-2020-1350) существует уже 17 лет, в течение которых она присутствовала в операционных системах Windows Server с версии 2003 по 2019 год и получила максимальный рейтинг серьезности 10. В июле 2020 года она было выпущено окончательное исправление.

Уязвимость позволяет злоумышленнику выполнить удаленно код на Windows Server через DNS, поэтому она представляет собой чрезвычайно серьезную опасность и может распространяться по сети без вмешательства пользователя. Поскольку Windows Server обычно выступает в роли контроллера домена, эксплуатация этой уязвимости позволяет злоумышленнику беспрепятственно получить доступ к ценным ресурсам компании.

Первый PoC-эксплойт для SIGRed был опубликован ведущим исследователем по ИБ компании Grapl Валентиной Пальмиотти. Flowmon ADS может обнаруживать эксплуатацию этой уязвимости с августа 2020 года, то есть более чем за 6 месяцев до обнаружения эксплойта.

Шаблоны поведения

Обнаружение основано на уникальном методе Flowmon, называемом «шаблоны поведения», который описывает вредоносное поведение с использованием данных сетевой телеметрии вместо сигнатур на уровне пакетов. В отличие от традиционных сигнатур, шаблоны поведения устойчивы к шифрованию трафика и более способны справляться с модификациями полезной нагрузки, поскольку полезная нагрузка не является основным направлением какого-либо конкретного метода обнаружения.

После публикации эксплойта мы протестировали способность Flowmon ADS обнаруживать использование уязвимости SIGRed и успешно продемонстрировали, что метод обнаружения, разработанный за несколько месяцев до появления этого конкретного эксплойта, способен распознать вредоносное поведение в сетевом трафике без каких-либо дополнительных модификаций. Это означает, что алгоритмы, используемые Flowmon ADS, готовы к обнаружению неизвестных угроз и атак нулевого дня.

Flowmon-Detected-SIGRed-exploitation

Обнаружена эксплуатация SIGRed; Обратите внимание, что скриншот был изменен, а IP-адрес DNS-сервера злоумышленника заменен общедоступным DNS-адресом Google.

Уязвимости вроде SIGRed появляются каждый день. NDR (Network Detection and Response) - это быстро развивающаяся технология, которая может помочь вам своевременно обнаруживать вредоносное поведение, даже если сигнатура этой конкретной атаки еще не доступна. В сочетании с надлежащим сбором, хранением и анализом сетевой телеметрии вы можете сопоставить свой сетевой трафик с известными индикаторами компрометации или использовать сетевую телеметрию для поиска угроз.

Источник ►