Amazon与Google修补其DNS服务平台的漏洞

云端安全业者Wiz在本周举行的黑帽大会上，揭露了一个有关DNS的安全漏洞，使用新颖的手法来挟持DNS服务供应商的节点，以窃听DNS流量，进而描绘出连结DNS服务的组织内部网络架构。尽管该漏洞被Wiz视为属于“国际水域”，亦即是个三不管地带，但包括Amazon及Google都先行着手修补了相关漏洞。

图片来源_黑帽大会

Wiz说明，DNS代管服务是个自助式的平台，允许客户更新其网域名称及其所指向的名称服务器，客户得以新增任何想要的网域名称，而且不会验证网域名称的所有人。此次Wiz团队则在拥有2,000个DNS服务器的Amazon Route53上进行测试，于Route53上注册了一个与其官方DNS服务器同名的名称服务器，准确地说，是在AWS的名称服务器上建立一个新的代管区域，并以AWS的DNS服务器命名。

这使得Wiz取得了该代管区域的部分控制权，并将它指向Wiz自家的IP地址。于是，只要DNS客户向此一名称服务器进行查询，相关的流量便会直接导至Wiz。

之后Wiz即开始接收到来自全球逾100万个独立终端的大量查询流量，这些流量来自全球1.5万个组织，涉及Fortune 500企业与上百个-机构，除了发现它们是来自于Windows机器的动态DNS流量之外，流量也透露出这些组织的内／外IP地址、电脑名称、员工名称，以及办公室位置。

Wiz的研究主管Shir Tamari表示，借由分析这些流量，他们得以取得一家全球最大服务业者的全球员工与办公室位置，还发现有些企业在伊朗及缅甸设有办公室，违反了美国外国资产控制办公室（Office of Foreign Assets Control，OFAC）的规定。

该漏洞现身的原因之一是Windows所提供的动态DNS设定，让Windows装置得以自动更新变更IP地址的DNS服务器，只是当Wiz向微软通报时，微软却说这并不是一个安全漏洞，而是客户在部署外部DNS解析器的配置错误。

不过，包括Amazon Route53与Google Cloud DNS都已修补了此一问题，只是其它DNS平台仍旧处于此一风险中。

Wiz则建议各大组织应该要妥善地配置其DNS解析器，以避免动态DNS更新泄露其内部网络状态。