Flowmon обнаруживает использование уязвимости Windows DNS Signed

Дата: 12.05.2021. Автор: Web Control. Категории: Бесплатные лицензии и курсы по ИБ
Flowmon обнаруживает использование уязвимости Windows DNS Signed

Уязвимость под названием SIGRed (CVE-2020-1350) существует уже 17 лет, в течение которых она присутствовала в операционных системах Windows Server с версии 2003 по 2019 год и получила максимальный рейтинг серьезности 10. В июле 2020 года она было выпущено окончательное исправление.

Уязвимость позволяет злоумышленнику выполнить удаленно код на Windows Server через DNS, поэтому она представляет собой чрезвычайно серьезную опасность и может распространяться по сети без вмешательства пользователя. Поскольку Windows Server обычно выступает в роли контроллера домена, эксплуатация этой уязвимости позволяет злоумышленнику беспрепятственно получить доступ к ценным ресурсам компании.

Первый PoC-эксплойт для SIGRed был опубликован ведущим исследователем по ИБ компании Grapl Валентиной Пальмиотти. Flowmon ADS может обнаруживать эксплуатацию этой уязвимости с августа 2020 года, то есть более чем за 6 месяцев до обнаружения эксплойта.

Шаблоны поведения

Обнаружение основано на уникальном методе Flowmon, называемом «шаблоны поведения», который описывает вредоносное поведение с использованием данных сетевой телеметрии вместо сигнатур на уровне пакетов. В отличие от традиционных сигнатур, шаблоны поведения устойчивы к шифрованию трафика и более способны справляться с модификациями полезной нагрузки, поскольку полезная нагрузка не является основным направлением какого-либо конкретного метода обнаружения.

После публикации эксплойта мы протестировали способность Flowmon ADS обнаруживать использование уязвимости SIGRed и успешно продемонстрировали, что метод обнаружения, разработанный за несколько месяцев до появления этого конкретного эксплойта, способен распознать вредоносное поведение в сетевом трафике без каких-либо дополнительных модификаций. Это означает, что алгоритмы, используемые Flowmon ADS, готовы к обнаружению неизвестных угроз и атак нулевого дня.

Уязвимости вроде SIGRed появляются каждый день. NDR (Network Detection and Response) — это быстро развивающаяся технология, которая может помочь вам своевременно обнаруживать вредоносное поведение, даже если сигнатура этой конкретной атаки еще не доступна. В сочетании с надлежащим сбором, хранением и анализом сетевой телеметрии вы можете сопоставить свой сетевой трафик с известными индикаторами компрометации или использовать сетевую телеметрию для поиска угроз.

Web Control

Об авторе Web Control

Компания Web Control – российский дистрибьютор специализированных решений систем управления внутренней безопасностью и оптимизации сетей.
Читать все записи автора Web Control

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *