Flowmon phát hiện lỗ hổng bảo mật SIGRed

Lỗ hổng SIGRed đã tồn tại trên hệ điều hành Windows trong khoảng thời gian 17 năm, từ 2003 đến 2019 và trong suốt thời gian đó, nó luôn được đánh giá là một lỗ hổng bảo mật nghiêm trọng với điểm đánh giá là 10/10. Nó cuối cùng cũng đã được vá lại vào tháng 7 – 2020.

Lỗ hổng này cho phép kẻ tấn công thực hiện các đoạn lệnh điều khiển từ xa trên hệ điều hành Windows thông qua DNS và nó có thể được lây lan ra khắp hệ thống mạng nếu không có sự can thiệp. Vì Windows Server thường đồng thời đóng vai trò Domain Controller, Kẻ tấn công có thể xâm nhập và đánh cắp mọi dự liệu quý giá nhất của hệ thống.

Gần đây, nhà nghiên cứu bảo mật hàng đầu của Grapl, Valentina Palmiotti, đã xuất bản bằng chứng khai thác khái niệm SIGRed công khai đầu tiên. Flowmon ADS đã có thể phát hiện việc khai thác lỗ hổng này kể từ tháng 8 năm 2020, hiệu quả hơn 6 tháng trước khi khai thác xuất hiện.

Mô hình hành vi

Việc phát hiện dựa trên một kỹ thuật Flowmon duy nhất được gọi là “các mẫu hành vi” mô tả các hành vi độc hại bằng cách sử dụng dữ liệu đo từ xa của mạng thay vì chữ ký mức gói. Trái ngược với chữ ký truyền thống, các mẫu hành vi có khả năng chống lại mã hóa lưu lượng và có nhiều khả năng đối phó với các sửa đổi trọng tải hơn, vì tải trọng không phải là trọng tâm chính của bất kỳ phương pháp phát hiện cụ thể nào.

Sau khi khai thác được xuất bản, chúng tôi đã kiểm tra khả năng của Flowmon ADS trong việc phát hiện việc khai thác lỗ hổng SIGRed và chứng minh thành công rằng kỹ thuật phát hiện được thiết kế vài tháng trước khi có sẵn khai thác cụ thể này có thể nhận ra hành vi độc hại trong lưu lượng mạng mà không có bất kỳ cần sửa đổi. Điều này ngụ ý rằng các thuật toán được Flowmon ADS tận dụng sẵn sàng để phát hiện các mối đe dọa không xác định và các cuộc tấn công zero-day.

Flowmon Detected Sigred Exploitation

Các lỗ hổng như SIGRed xuất hiện hàng ngày. NDR (Phát hiện và phản hồi mạng) là một công nghệ tiến bộ nhanh có thể giúp bạn phát hiện hành vi độc hại kịp thời ngay cả khi chưa có dấu hiệu của cuộc tấn công cụ thể đó. Khi được kết hợp với việc thu thập, lưu trữ và phân tích phép đo từ xa mạng thích hợp, bạn có thể đối sánh lưu lượng mạng của mình với các chỉ số đã biết về sự xâm phạm hoặc tận dụng phép đo từ xa mạng để săn lùng mối đe dọa.

Tham khảo:

https://www.flowmon.com/en/blog/flowmon-detects-windows-dns-sigred-exploitation

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *