Уязвимость под названием SIGRed (CVE-2020-1350) существует уже 17 лет, в течение которых она присутствовала в операционных системах Windows Server с версии 2003 по 2019 год и получила максимальный рейтинг серьезности 10. В июле 2020 года она было выпущено окончательное исправление.
Уязвимость позволяет злоумышленнику выполнить удаленно код на Windows Server через DNS, поэтому она представляет собой чрезвычайно серьезную опасность и может распространяться по сети без вмешательства пользователя. Поскольку Windows Server обычно выступает в роли контроллера домена, эксплуатация этой уязвимости позволяет злоумышленнику беспрепятственно получить доступ к ценным ресурсам компании.
Первый PoC-эксплойт для SIGRed был опубликован ведущим исследователем по ИБ компании Grapl Валентиной Пальмиотти. Flowmon ADS может обнаруживать эксплуатацию этой уязвимости с августа 2020 года, то есть более чем за 6 месяцев до обнаружения эксплойта.
Шаблоны поведения
Обнаружение основано на уникальном методе Flowmon, называемом «шаблоны поведения», который описывает вредоносное поведение с использованием данных сетевой телеметрии вместо сигнатур на уровне пакетов. В отличие от традиционных сигнатур, шаблоны поведения устойчивы к шифрованию трафика и более способны справляться с модификациями полезной нагрузки, поскольку полезная нагрузка не является основным направлением какого-либо конкретного метода обнаружения.
После публикации эксплойта мы протестировали способность Flowmon ADS обнаруживать использование уязвимости SIGRed и успешно продемонстрировали, что метод обнаружения, разработанный за несколько месяцев до появления этого конкретного эксплойта, способен распознать вредоносное поведение в сетевом трафике без каких-либо дополнительных модификаций. Это означает, что алгоритмы, используемые Flowmon ADS, готовы к обнаружению неизвестных угроз и атак нулевого дня.
Обнаружена эксплуатация SIGRed; Обратите внимание, что скриншот был изменен, а IP-адрес DNS-сервера злоумышленника заменен общедоступным DNS-адресом Google.
Уязвимости вроде SIGRed появляются каждый день. NDR (Network Detection and Response) - это быстро развивающаяся технология, которая может помочь вам своевременно обнаруживать вредоносное поведение, даже если сигнатура этой конкретной атаки еще не доступна. В сочетании с надлежащим сбором, хранением и анализом сетевой телеметрии вы можете сопоставить свой сетевой трафик с известными индикаторами компрометации или использовать сетевую телеметрию для поиска угроз.