Bitdefender 在Hypervisor层拦截CVE-2020-1350漏洞利用攻击 – 作者:比特梵德中国

2020年7月14日，微软发布补丁修复了一个标注为远程代码执行的DNS Server漏洞，官方分类为“可蠕虫级”高危漏洞，易受攻击的漏洞有可能通过恶意软件在易受攻击的计算机之间传播，而无需用户干预。CVSS评分10分（即高危且易利用），漏洞编号CVE-2020-1350，此漏洞被称为SIGRed。

 未经身份验证的攻击者可以发送特殊构造的数据包到目标DNS Server来利用此漏洞，成功利用此漏洞可能达到远程代码执行的效果。如果域控制器上存在DNS服务，攻击者可利用此漏洞获取到域控制器的系统权限。

 另外，DNS服务器一旦被控制，会存在域名劫持风险。域控制器失陷将会对企业安全造成灾难性的后果，Bitdefender强烈建议相关企业尽快修复此漏洞。

受影响的系统：Windows Server 2008， 2012，2016，2019

Bitdefender提供的漏洞检测、解决方案及缓解措施：

1. 使用Bitdefender 漏洞扫描与补丁管理系统的用户，可通过Bitdefender漏洞扫描你的Windows服务器，并修复此漏洞。

 2. 在Citrix XenServer和KVM等虚拟化环境，使用Bitdefender Hypervisor Introspection的用户，可以在虚拟化底层，自动拦截CVE-2020-1350漏洞利用攻击。

关于Bitdefender Hypervisor Introspection

Bitdefender Hypervisor Introspection(HVI)不需要在VM中安装代理，而是使用API与管理HVI的安全服务器共享每个VM的内存活动，在Hypervisor底层防护，一旦检测到违规，就会从Hypervisor底层实时停止攻击。

 HVI旨在通过在虚拟化内存管理单元（MMU）的扩展页表（EPT）级别将其标记为不可执行，来阻止可疑内存区域内的代码执行。任何未被合法加载的模块支持的内存区域（例如，堆栈，堆或其他动态分配的内存）都被HVI视为可疑内存，并且默认情况下，该区域中的任何代码都被阻止执行。

 CVE-2020-1350漏洞利用场景通常涉及从一个可疑的内存区域执行Shellcode，这是一种常见的且经过验证的用于内存损坏攻击启动器。示例包括缓冲区溢出（无论是堆栈还是堆）以及释放后使用或整数溢出，最终导致越界访问，这些越界访问可以将控制权交给攻击者。也可以使用诸如ROP之类的技术，通常利用这些技术为最终的shellcode准备适当的执行环境，然后将其存储在可疑的内存区域中，所有这些内容对于HVI都是可见的。

 CVE-2020-1350是整数溢出的典型示例，该整数溢出创建基于堆的缓冲区溢出，然后利用该溢出在受影响的主机上获得任意代码执行。一旦漏洞利用绕过了现有的缓解措施（包括CFG，ASLR和DEP），它通常会运行位于此类可疑内存区域内的shellcode。HVI旨在拦截和阻止此执行，从而阻止漏洞利用。

欲了解更多，请下载Bitdefender HVI白皮书：

http://www.bitdefender-cn.com/downloads/datasheet/Bitdefender-HVI.pdf

扫一扫，关注Bitdefender公众号

来源：freebuf.com 2020-07-17 12:54:36 by: 比特梵德中国