两个基于堆栈的缓冲区溢出（统称为 CVE-2023-32560）影响 Ivanti Avalanche，这是一种企业移动管理 (EMM) 解决方案，旨在管理、监控和保护各种移动设备。

这些漏洞被评为严重漏洞（CVSS v3：9.8），无需用户身份验证即可远程利用，可能允许攻击者在目标系统上执行任意代码。

该漏洞影响 WLAvalancheService.exe 版本 6.4.0.0 及更早版本，该版本通过 TCP 端口 1777 接收通信。

攻击者发送特制的数据包，其中包含十六进制字符串（类型 3）或由“;”分隔的十进制字符串列表。（类型 9）可能会由于用于存储转换数据的固定大小的基于堆栈的缓冲区而导致缓冲区溢出。

缓冲区溢出是一种安全问题，其中程序向相邻内存块（缓冲区）写入的数据超出其所能容纳的数据，覆盖这些位置并导致程序崩溃或任意代码执行。

基于堆栈的缓冲区溢出涉及覆盖堆栈上分配的区域（存储程序的局部变量和返回地址的内存区域），从而可以引导程序执行恶意代码。

这些问题由Tenable 研究人员发现，并于 2023 年 4 月 4 日向 Ivanti 报告，同时于 2023 年 4 月 13 日与供应商共享了概念验证。

在延长披露窗口以使供应商有更多时间解决问题后，Avalanche版本 6.4.1于 2023 年 8 月 3 日发布了安全更新。

除了 CVE-2023-32560 之外，Avalanche 版本 6.4.1 还修复了 CVE-2023-32561、CVE-2023-32562、CVE-2023-32563、CVE-2023-32564、CVE-2023-32565 和 CVE-2023- 32566，涉及各种身份验证绕过和远程代码执行缺陷。

Ivanti 软件用于关键系统和设置，因此威胁参与者不断寻找构成潜在攻击网关的关键严重性漏洞。

上个月，据透露，黑客利用 Ivanti Endpoint Manager Mobile (EPMM) 中的零日身份验证绕过漏洞 (CVE-2023-35078) 破坏了挪威政府12 个部门使用的平台，访问了潜在的敏感和机密信息。

科罗拉多州医疗保健政策和融资部 (HCPF) 向超过 400 万人发出警报，称数据泄露影响了他们的个人和健康信息。

科罗拉多州 HCPF 是一个州政府机构，负责管理科罗拉多州健康第一 (Medicaid) 和儿童健康计划 Plus 计划，并为低收入家庭、老年人和残疾公民提供支持。

Clop 勒索软件在影响全球数百个组织的黑客活动中利用了 MOVEit Transfer 零日漏洞 (CVE-2023-34362)，导致数据泄露 。

HCPF 澄清说，虽然他们的系统没有直接受到损害，但数据泄露是通过他们的承包商 IBM 使用 MOVEit 软件发生的。

“在 IBM 通知 HCPF 受到 MOVEit 事件的影响后，HCPF 立即启动调查，以了解该事件是否影响了其自己的系统，并确定 Health First Colorado 或 CHP+ 成员的受保护健康信息是否被未经授权的一方访问，”通知中写道。

调查显示，威胁行为者设法访问并可能窃取了包含某些 Health First Colorado 和 CHP+ 成员信息的文件，包括：

• 全名
• 社会安全号码 (SSN)
• 医疗补助 ID 号
• 医疗保险 ID 号
• 出生日期
• 家庭地址
• 联系信息
• 收入信息
• 人口统计数据
• 临床数据（诊断、实验室结果、治疗、药物）
• 健康保险信息

上述数据可用于发起有效的网络钓鱼或社会工程攻击，并有助于身份或银行欺诈活动。

总共有4,091,794人的数据被曝光。对于所有收到数据泄露通知的个人，HPCF 通过 Experian 提供两年的信用监控服务，以帮助打击欺诈企图。

就在一周前，科罗拉多州的另一个大型州组织高等教育部 (CDHE) 披露，勒索软件攻击造成的大规模数据泄露已经影响了大量学生和教师。

CDHE表示，威胁行为者利用窃取的数据进行双重勒索和加密网络计算机；不过，它没有说明黑客是如何获得网络访问权限的。

2023 年 7 月，科罗拉多州立大学披露了因使用易受攻击的 MOVEit Transfer 软件而导致的数据泄露，影响了数万名学生和学术人员。

在当今不断发展的数字环境中，有效的恶意软件检测仍然至关重要。随着网络攻击威胁不断升级，网络安全成为防止数据泄露和数据泄露的重要屏障。

PolySwarm通过整合区块链技术，在增强恶意软件检测能力方面取得了重大飞跃。

通过利用协作威胁检测引擎的力量，该平台开创了创新方法来加强对这些不断变化的威胁的防御。

这项合作现在迎来了PolySwarm 广泛的检测引擎网络中的新成员——网络威胁情报搜索引擎 Crime IP。

PolySwarm：利用专用引擎提升检测能力

PolySwarm 创新方法的核心在于专门的检测，并由针对不同威胁类别精心定制的微引擎提供支持。

这些微引擎由广大安全专业人员专业设计和监督，能够有效分解威胁检测任务。

这些专注的检测引擎由不同的专家精心设计，可有效针对特定威胁，包括恶意软件、网络钓鱼和勒索软件。

Crime IP 的专业知识增强了威胁数据聚合和验证

Crime IP 的专业知识旨在增强关键威胁数据的聚合和验证。

Critical IP 作为PolySwarm 恶意 URL 检测的新贡献者的加入代表了专业威胁识别方面的重大飞跃。

通过利用由多元化安全社区开发的精密微引擎，PolySwarm 采取战略措施来应对不同的威胁类别，从而提高威胁检测的准确性。

此外，犯罪 IP 对威胁数据的聚合和验证的贡献在识别真实威胁同时最大限度地减少误报方面发挥着关键作用。

微软默认为所有人启用了一个内核信息泄露漏洞修复程序，此前由于担心它可能会给 Windows 带来重大更改而禁用该漏洞。

该漏洞被跟踪为 CVE-2023-32019  ，严重程度为中等程度 4.7/10，微软将该缺陷的严重程度评为“重要”。

该漏洞由 Google 零号项目安全研究员 Mateusz Jurczyk 发现，它允许经过身份验证的攻击者访问特权进程的内存以提取信息。

虽然据信该漏洞并未被广泛利用，但微软最初发布了禁用修复程序的安全更新，警告称这可能会导致操作系统发生重大变化。

“本文中描述的解决方案引入了潜在的重大更改。因此，我们将发布默认禁用的更改，并提供启用它的选项，”  微软解释道。

相反，Windows 用户必须通过在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides项下添加以下注册表值来手动启用更新  ：

• Windows 10 20H2、21H2、22H2： 添加名为4103588492 且值数据为 1 的新 DWORD 注册表值 
• Windows 11 21H2：添加一个名为4204251788 的新 DWORD 注册表值，  其值数据为 1
• Windows 11 22H2：添加一个名为4237806220 的新 DWORD 注册表值  ，其值数据为 1
• Windows Server 2022： 添加名为4137142924 且值数据为 1 的新 DWORD 注册表值 

不过，微软并没有透露启用该更新可能会产生哪些冲突，只是当时告诉 BleepingComputer 将来会默认启用该更新。

这种不确定性导致许多 Windows 管理员没有部署该修复程序，因为担心这会导致 Windows 安装出现问题。

正如Neowin首次发现的那样 ，微软现已在2023 年 8 月的周二补丁更新中默认启用了 CVE-2023-32019 的修复 。

“本文中描述的解决方案已发布为默认启用。若要应用默认启用的解决方案，请安装 2023 年 8 月 8 日或之后的 Windows 更新。” Microsoft 在其支持公告的更新中对此进行了解释。

“不需要用户采取进一步的行动。”

28u.cc已与众多 Windows 管理员讨论了此更新，但没有人报告启用此更改后出现的问题。

Monti 勒索软件团伙在其数据泄露网站上发布受害者信息两个月后卷土重来，他们使用新的 Linux 锁来针对 VMware ESXi 服务器、法律和政府组织。

趋势科技的研究人员在分析 Monti 的新加密工具时发现，它“与其他基于 Linux 的前辈有显着差异”。

新的 Linux 储物柜

Monti 储物柜的早期版本在很大程度上 (99%) 基于 Conti 勒索软件泄露的代码，但新储物柜的相似度仅为 29%。

趋势科技观察到的重大修改如下：

• 删除“--size”、“--log”和“-vmlist”参数并添加新的“-type=soft”参数，以更微妙的方式终止 ESXi 虚拟机 (VM)逃避检测。
• 添加“--whitelist”参数来指示锁定器跳过主机上的特定 ESXi 虚拟机 (VM)。
• 修改“/etc/motd”和“index.html”文件以在用户登录时显示勒索信息内容（每日消息）。

• 现在将字节签名“MONTI”以及与加密密钥相关的附加 256 字节附加到加密文件。
• 检查文件大小是否低于或超过 261 字节，加密较小的文件，并检查较大文件是否存在“MONTI”字符串。如果字符串丢失，则会加密文件。
• 新变体使用 OpenSSL 库中的 AES-256-CTR 加密方法，这与之前使用 Salsa20 的变体不同。
• 大小在 1.048MB 到 4.19MB 之间的文件将仅加密前 100,000 字节，而小于 1.048MB 的文件将完全加密。
• 大小超过 4.19MB 的文件将对其部分内容进行加密，这是通过右移操作计算得出的。

• 新变种将 .MONTI 扩展名添加到加密文件中，并在其处理的每个目录上生成勒索字条（“readme.txt”）。

研究人员表示，该代码的亮点之一是其逃避检测的能力得到提高，这使得识别和减轻 Monti 勒索软件攻击变得更加困难。

Monti勒索软件背景

Monti 勒索软件于 2022 年 6 月首次被MalwareHunterTeam发现 ，一个月后由黑莓公开记录，Monti 勒索软件似乎是 Conti 的克隆，因为它在乌克兰研究人员泄露后使用了 Conti 的大部分代码。

2022 年 9 月，Intel471 的一份报告强调，基于相同的初始网络访问方法，Monti 成为 Conti 品牌重塑的可能性增加。

然而，由于攻击量相对较低，该威胁行为者并没有引起研究人员的太多关注，  Fortinet仅在 2023 年 1 月发布了一份报告，对其 Linux 储物柜进行了粗略检查。

该团伙成员并不认为自己是网络犯罪分子，也不认为他们的软件是恶意的。他们将他们使用的工具称为揭示企业网络安全问题的实用程序，并将他们的攻击称为渗透测试，他们希望为此获得报酬。如果受害公司不付款，他们就会在数据泄露网站的“耻辱墙”部分下公布受害者的姓名。

尽管用这些术语来描述他们的活动，但 Monti 团伙的行为与任何其他勒索软件团伙一样，破坏公司网络、窃取数据并索要赎金。 

美国联邦调查局 (FBI) 警告称，冒充恢复公司的骗子数量有所增加，这些公司可以帮助加密货币投资诈骗的受害者恢复损失的资产。

公告提到，2022 年加密货币投资欺诈造成的损失超过 25 亿美元，这仅涉及向当局报告的案件。此外，许多人通过信息窃取恶意软件或窃取钱包的网络钓鱼攻击丢失了加密货币，这可能会使这个数字更大。

这种情况为追偿计划诈骗者创造了机会，他们利用这一庞大的受害者群体，利用他们的绝望来追回资金，而只是第二次欺骗他们。

联邦调查局的通知中写道：“声称提供加密货币追踪并承诺能够追回损失资金的欺诈企业代表可能会直接在社交媒体或消息平台上联系受害者。  ”

“受害者还可能在有关加密货币的在线新闻文章和视频的评论部分、加密货币的在线搜索结果或社交媒体上遇到欺诈性加密货币恢复服务的广告。”

28u.cc在我们自己的新闻报道、其他网站的评论部分以及 Medium 上发现了此类诈骗。

尽管社交媒体，尤其是 Twitter，一直在试图打击这些骗局，但它们仍然受到加密货币支持和恢复骗局的困扰。

今天，BleepingComputer 在推特上发布了一条虚假请求， 要求帮助恢复丢失的加密货币，并立即收到了大量宣传加密货币支持和恢复骗局的机器人的回复。

联邦调查局解释说，恢复计划旨在欺骗个人承担所谓的恢复费用，通常要求预付费用或某种形式的押金。

一旦付款后，诈骗者要么切断与受害者的联系，要么试图通过提供不完整的追踪报告来筹集更多资金，表明他们需要更多资源来完成调查。

在联邦调查局观察到的许多案例中，诈骗者声称他们隶属于执法机构或其他合法组织，以向目标灌输一种值得信赖的感觉。

然而，正如联邦调查局强调的那样，任何私营部门实体都无法发布扣押令来追回被盗的数字资产，因此所有此类指控都是虚假的，那些提出此类指控的人应被视为高度可疑。

为了保护自己免受这些欺诈公司或个人诈骗者的侵害，不要相信通过互联网广告、评论和社交媒体推广的加密货币恢复服务。此外，切勿在网上与未知个人分享任何个人或财务详细信息。

相反，欺诈受害者应该向本国执法部门报告该事件。在美国，这可以通过 IC3 门户完成。

这些诈骗的受害者还可以提起民事诉讼以追回丢失的资产，因此保留所有记录、交易详细信息以及与可疑人员的互动至关重要。

然而，由于许多此类回收公司都以假名运营，因此很可能无法在法庭上对此类盗窃提起诉讼。

研究人员发现 120,000 个受感染的系统包含网络犯罪论坛的凭据。研究人员表示，许多计算机属于黑客。

通过分析数据，威胁研究人员发现，用于登录黑客论坛的密码通常比用于登录政府网站的密码更安全。

黑客登录遭到破坏

在浏览了 100 个网络犯罪论坛后，威胁情报公司 Hudson Rock 的研究人员发现 ，一些黑客无意中感染了他们的计算机，导致他们的登录信息被盗。

Hudson Rock 表示，受感染的计算机中有 10 万台属于黑客，网络犯罪论坛的凭据数量超过 14 万个。

研究人员从公开的泄漏信息以及直接来自威胁行为者的信息窃取者日志中收集了信息。

信息窃取程序是一种恶意软件，它会在计算机上的特定位置搜索登录信息。常见的目标是网络浏览器，因为它们具有自动填充和密码存储功能。

 Hudson Rock 首席技术官 Alon Gal 告诉28u.cc，“世界各地的黑客通过推广假冒软件的结果或通过 YouTube 教程引导受害者下载受感染的软件来伺机感染计算机。”

那些受诱惑的人中有其他黑客，可能是技术水平较低的黑客，所以他们就像任何其他试图走捷径的容易上当的用户一样被感染。

通过查看信息窃取者日志中的数据，可以将这些受感染计算机的所有者识别为黑客，或者至少是黑客爱好者，这也暴露了个人的真实身份：

• 在计算机上找到的其他凭据（其他电子邮件、用户名）
• 自动填写包含个人信息的数据（姓名、地址、电话号码）
• 系统信息（计算机名称、IP 地址）

在之前的博客文章中，Hudson Rock 描述了 一个名为 La_Citrix 的知名威胁参与者如何意外感染他们的计算机，该威胁参与者以向公司出售 Citrix/VPN/RDP 访问权限而闻名。

通过查看收集的数据，Hudson Rock 确定超过 57,000 名受感染的用户拥有 Nulled[.]to 新兴网络犯罪分子社区的帐户。

研究人员发现， BreachForums的用户 拥有最强的密码来登录该网站，超过 40% 的凭据长度至少为 10 个字符，并包含四种类型的字符。

然而，黑客也使用非常弱的密码，例如一串连续数字。这可以解释为他们对参与社区缺乏兴趣。

他们使用该帐户可能只是为了跟上讨论、检查哪些数据可供出售，或者只是为了在发生更重要的事情时访问论坛。

研究人员还发现，网络犯罪论坛的登录凭据通常比政府网站的登录凭据更强，尽管差异并不大。

据 Hudson Rock 称，大多数感染仅来自三个信息窃取者，这也恰好是许多黑客的热门选择：RedLine、Raccoon 和 Azorult。

目前，大量的初始访问攻击都是从信息窃取程序开始的，它收集威胁行为者冒充合法用户所需的所有数据，通常称为系统指纹。

Discord.io 自定义邀请服务因数据泄露导致 760,000 名会员信息泄露而暂时关闭。

Discord.io 不是官方 Discord 网站，而是一项第三方服务，允许服务器所有者创建对其频道的自定义邀请。该社区的大部分内容都是围绕该服务的 Discord 服务器构建的，拥有超过 14,000 名成员。

昨天，一个名为“Akhirah”的人开始在新的 Breached 黑客论坛上出售 Discord.io 数据库。作为盗窃的证据，威胁行为者共享了数据库中的四条用户记录。

对于那些不熟悉新的 Breached 的人来说，这是一个以出售和泄露数据泄露中被盗数据而闻名的流行网络犯罪论坛的重生。

据威胁者称，该数据库包含 760,000 名 Discord.io 用户的信息，包括以下类型的信息：

"userid","icon","icon_stored","userdiscrim","auth","auth_id","admin","moderator","email","name","username","password","tokens","tokens_free","faucet_timer","faucet_streak","address","date","api","favorites","ads","active","banned","public","domain","media","splash_opt","splash","auth_key","last_payment","expiration"

泄露中最敏感的信息是会员的用户名、电子邮件地址、账单地址（少数人）、加盐和散列密码（少数人）以及 Discord ID。

Discord.io 解释说：“这些信息不是私人信息，任何与您共享服务器的人都可以获取。但是，将其包含在违规行为中确实意味着其他人可能能够将您的 Discord 帐户链接到给定的电子邮件地址。”关于 Discord ID 泄露的问题。

正如StackDiary首次报道的那样 ，Discord.io 已在向其 Discord 服务器和网站发出的通知中确认了违规行为的真实性，并已开始暂时关闭其服务作为回应。

“Discord.io 遭受了数据泄露。我们将在可预见的未来停止所有操作，”该服务的 Discord 服务器上显示一条消息。

“有关更多信息，请参阅我们的#breah-notification 频道。我们将很快更新我们的网站并提供此消息的副本。”

Discord.io 的网站包含一个时间表，解释说他们是在看到黑客论坛上的帖子后首次了解到数据泄露的。

不久之后，他们确认了泄露数据的真实性，并开始关闭其服务并取消所有付费会员资格。

Discord.io 表示，违规行为背后的个人已经联系了他们，但没有分享任何有关他们如何被违规的信息。

Discord.io 会员应该做什么？

此次泄露中的密码是使用 bcrypt 进行哈希处理的，这使得它们需要大量硬件并且破解速度很慢。

然而，电子邮件地址对于其他威胁参与者来说可能很有价值，因为它们可用于有针对性的网络钓鱼攻击以窃取更敏感的信息。

因此，如果您是 Discord.io 的会员，您应该留意不寻常的电子邮件，其中包含要求您输入密码或其他信息的页面链接。

有关违规的任何更新，您应该检查 主网站，其中应包含有关潜在密码重置或来自服务的电子邮件的任何信息。

每年，英国各地的地方政府机构或议会都会联系居民，要求他们更新选举登记册上的选民详细信息（如果这些信息发生变化）。

为此，居民被要求访问 HouseholdResponse.com，这个域名看起来一点也不官方，而且经常让人们感到困惑，他们误认为这是一个骗局。

更糟糕的是，根据选举委员会网站的说法，至少在理论上，未能通过访问该网站回应此通知可能会导致刑事处罚——最高 1,000 英镑的罚款。

这可能会引发人们的紧迫感和焦虑感，也是诈骗者可以利用的弱点。

“家庭反应”并非家喻户晓

上个月，英格兰和威尔士各地的议会开始联系房产占用者，要求他们通过访问 HouseholdResponse.com 更新选民记录。

这些通知通过邮寄和电子邮件发送，注明可能有资格投票的居民的姓名和地址，以及需要在家庭响应网站上输入以进行身份​​验证的由两部分组成的安全代码。

然后，居民会被询问有关居住在其地址的人的信息，以及这些人（包括他们自己）是否有资格投票。

据选举委员会称，未能回应通知或提供不准确信息可能会导致最高 1,000 英镑的罚款。

可以说， HouseholdResponse.com域名的选择  经常让居民感到困惑，并担心信件是否是骗局。

总部位于伦敦的软件开发商 Pranay Manocha 在社交媒体上表示：“到 2023 年，议会要求在家庭响应网络上进行选举登记/确认，而不是在真正值得信赖的 .gov 网站上，这确实是可耻的。”

过去，其他人也曾插话过。议会必须介入以确认这些通知确实是真实的：

此外，该代表解释说，由于“开放登记册”上的选民记录通常会报告给信用局，并用于在线身份验证，因此那些不及时更新详细信息的人在申请信用或公用事业时可能会遇到问题：

“你也可能很难获得抵押贷款、信用卡和手机的信贷，因为登记册经常被用来进行信用检查。”

“确认与您的财产有关的详细信息是法律要求。如果您不回应年度游说，您可能无法在选举中投票。”

但该居民似乎并不相信当地政府的解释，并加倍努力。

“我将就此向[信息专员办公室]投诉，”普雷斯顿的克里斯蒂安·阿什比回应道。

“鼓励公民点击电子邮件中无法识别的由您或相关机构运行的链接是不负责任的行为，尤其是当 PII 受到威胁时。”

就连议会也承认该通知看起来很可疑

不仅是人民，就连发出这些通知的议会也承认这些通知带有怀疑的气氛，并且付出了更多努力来安抚公民。

为了帮助消除居民的任何困惑或焦虑，一些议会 [ 1 , 2 ] 甚至在这些通知中包含指向其网站的链接，以证明该域名的“真实”性质。

利兹、拉什克利夫、切姆斯福德等城市也发布了类似的建议 。你明白了。

这种确认谁有资格在每个住宅物业投票的官僚程序被称为“年度拉票”。

每年一次的游说都有充分的理由。

详细来说，您无需成为英国公民即可在英国投票。合法居住在英国的爱尔兰和符合资格的英联邦国家（包括 澳大利亚、加拿大、印度、牙买加、巴基斯坦、新加坡……）的公民 也有资格在所有选举中 投票。（对于欧盟公民来说，这有点复杂）。

因此，每年至少更新一次选举登记册变得至关重要。

防范诈骗

 Household Response 服务由一家名为 Civica Election Services (CES) 的私人公司托管和维护，英国各地有 250 多个议会使用该服务。

但这并不能令人信服地解释为什么该服务无法配置为使用 .gov.uk 域。

请注意，诈骗者如何利用与域名相关的混淆来创建相似的网络钓鱼域名：

“仅供参考，有人在 houseresponse(s).com 上扎营广告，这可能会造成混乱，也可能有人利用它进行网络钓鱼攻击，”英国银行软件行业工作人员杰森·迪恩 (Jason Dean) 警告说。

值得庆幸的是，BleepingComputer 证实，在撰写本文时，域 homeresponses.com  （带有尾随“s”）会指向一个通用的停放页面。

Chrome 等浏览器甚至会警告访问者，如果他们想输入合法的 homeresponse.com：

世界各地的政府经常与第三方软件供应商签约，为其服务提供门户网站和域，例如收取停车罚款。

但是，很多时候，选择非政府域可能会使门户网站难以与威胁行为者建立的非法网站区分开来。

当通过短信、电子邮件或邮政邮件收到自称来自政府的信件时，首先请直接访问当地政府当局或市议会的官方网站，确保您所转到的网站或电话号码得到当地政府当局或市议会的认可。

来自加州大学欧文分校和清华大学的研究人员团队开发了一种名为“MaginotDNS”的新型强大缓存中毒攻击，该攻击针对条件 DNS (CDNS) 解析器，可以危害整个 TLD 顶级域。

由于不同 DNS 软件和服务器模式（递归解析器和转发器）实施安全检查的不一致，导致攻击成为可能，导致大约三分之一的 CDNS 服务器容易受到攻击。

研究人员  于本周早些时候在 Black Hat 2023上展示了该攻击和论文，报告称已发现的问题现已在软件级别得到修复。

DNS缓存中毒背景

DNS（域名系统）是一种针对互联网资源和网络的分层分布式命名系统，有助于将人类可读的域名解析为数字 IP 地址，以便建立网络连接。

DNS 解析过程使用 UDP、TCP 和 DNSSEC 来执行查询和接收响应。它可以是迭代和递归的，涉及多个步骤以及与根服务器、TLD服务器、权威服务器的交换、沿途缓存记录等。

DNS 缓存中毒的概念是将伪造的答案注入 DNS 解析器缓存，导致服务器将输入域的用户定向到不正确的 IP 地址，从而可能导致他们在不知情的情况下访问恶意网站。

过去已经证明了许多此类攻击，例如 1997 年的卡什普雷夫攻击（Kashpureff Attack）利用了缺乏数据验证（辖区规则）的漏洞，以及 2008 年的卡明斯基攻击（Kaminsky Attack）利用了缺乏来源的漏洞端口随机化系统。

通过在解析器的实现中添加防御措施，这些攻击已得到缓解，从而使偏离路径的攻击变得具有挑战性。

然而，“MaginotDNS”攻击可以通过从路径上或路径外攻击 CDNS 的转发模式来克服这些防御。

MaginotDNS 攻击

CDNS 解析器支持递归和转发查询模式，供​​ ISP 和企业使用，以降低成本并更好地进行访问控制。

研究人员发现，辖区检查在递归模式下得到了充分执行；然而，转发器很容易受到攻击。

研究人员发现了重要 DNS 软件的监管检查中存在不一致之处，包括 BIND9 ( CVE-2021-25220 )、Knot Resolver ( CVE-2022-32983 )、Microsoft DNS 和 Technitium ( CVE-2021-43105 )。

在某些情况下，他们注意到配置将所有记录视为位于根域下，这是一种高度脆弱的设置。

研究人员在 BlackHat 演讲中展示的示例包括路径内攻击和路径外攻击，后者更为复杂，但对于威胁行为者来说也更有价值。

对于这些攻击，威胁行为者需要预测目标递归 DNS 服务器在生成请求时使用的源端口和事务 ID，然后使用恶意 DNS 服务器发送带有正确参数的伪造响应。

推断源端口并猜测事务 ID 可以通过暴力破解或使用 SADDNS（旁道攻击 DNS）来完成。

对于 BIND9，这两个参数都可以在 3,600 轮查询后成功检索，而对于 Microsoft DNS，则下降到 720 轮。

为了增加成功的机会，攻击者必须控制恶意 DNS 响应的回复时间，以确保其伪造的响应先于合法响应到达受害者的服务器。

研究人员分享了以下视频，演示了 MaginotDNS 对 Microsoft DNS 的攻击。

扫描易受攻击的 CDNS

研究人员扫描了互联网，发现了 1,200,000 个 DNS 解析器，其中 154,955 个是 CDNS 服务器。

接下来，使用软件指纹识别易受攻击的版本，他们发现了 54,949 个易受攻击的 CDNS 服务器，所有这些服务器都容易受到路径内攻击，其中 88.3% 受到路径外攻击的影响。

上述所有受影响的软件供应商均已确认并修复了这些缺陷，微软已向研究人员的报告提供了奖励。