-
-
[分享]Bitdefender 在Hypervisor层拦截CVE-2020-1350漏洞利用攻击
-
发表于: 2020-7-17 12:42 4926
-
2020年7月14日,微软发布补丁修复了一个标注为远程代码执行的DNS Server漏洞,官方分类为“可蠕虫级”高危漏洞,易受攻击的漏洞有可能通过恶意软件在易受攻击的计算机之间传播,而无需用户干预。CVSS评分10分(即高危且易利用),漏洞编号CVE-2020-1350,此漏洞被称为SIGRed。
未经身份验证的攻击者可以发送特殊构造的数据包到目标DNS Server来利用此漏洞,成功利用此漏洞可能达到远程代码执行的效果。如果域控制器上存在DNS服务,攻击者可利用此漏洞获取到域控制器的系统权限。
另外,DNS服务器一旦被控制,会存在域名劫持风险。域控制器失陷将会对企业安全造成灾难性的后果,Bitdefender强烈建议相关企业尽快修复此漏洞。
受影响的系统:Windows Server 2008, 2012,2016,2019
Bitdefender提供的漏洞检测、解决方案及缓解措施:
1. 使用Bitdefender 漏洞扫描与补丁管理系统的用户,可通过Bitdefender漏洞扫描你的Windows服务器,并修复此漏洞。
2. 在Citrix XenServer和KVM等虚拟化环境,使用Bitdefender Hypervisor Introspection的用户,可以在虚拟化底层,自动拦截CVE-2020-1350漏洞利用攻击。
关于Bitdefender Hypervisor Introspection
Bitdefender Hypervisor Introspection(HVI)不需要在VM中安装代理,而是使用API与管理HVI的安全服务器共享每个VM的内存活动,在Hypervisor底层防护,一旦检测到违规,就会从Hypervisor底层实时停止攻击。
HVI旨在通过在虚拟化内存管理单元(MMU)的扩展页表(EPT)级别将其标记为不可执行,来阻止可疑内存区域内的代码执行。任何未被合法加载的模块支持的内存区域(例如,堆栈,堆或其他动态分配的内存)都被HVI视为可疑内存,并且默认情况下,该区域中的任何代码都被阻止执行。
CVE-2020-1350漏洞利用场景通常涉及从一个可疑的内存区域执行Shellcode,这是一种常见的且经过验证的用于内存损坏攻击启动器。示例包括缓冲区溢出(无论是堆栈还是堆)以及释放后使用或整数溢出,最终导致越界访问,这些越界访问可以将控制权交给攻击者。也可以使用诸如ROP之类的技术,通常利用这些技术为最终的shellcode准备适当的执行环境,然后将其存储在可疑的内存区域中,所有这些内容对于HVI都是可见的。
CVE-2020-1350是整数溢出的典型示例,该整数溢出创建基于堆的缓冲区溢出,然后利用该溢出在受影响的主机上获得任意代码执行。一旦漏洞利用绕过了现有的缓解措施(包括CFG,ASLR和DEP),它通常会运行位于此类可疑内存区域内的shellcode。HVI旨在拦截和阻止此执行,从而阻止漏洞利用。
欲了解更多,请下载Bitdefender HVI白皮书:
http://www.bitdefender-cn.com/downloads/datasheet/Bitdefender-HVI.pdf
扫一扫,关注Bitdefender公众号
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课