「威胁通告」Microsoft Windows DNS服务器远程代码执行漏洞SigRed(CVE-2020-1350)

综述

当地时间7月14日,微软最新的月度补丁更新中修复了一枚存在于Windows DNS 服务器中的可蠕虫化漏洞CVE-2020-1350(代号 SigRed)。这意味着攻击者利用该漏洞能够在没有任何用户交互的情况下,在易受攻击的机器间传播,从而有可能感染整个组织的网络。

据报道,该漏洞已经存在17 年之久,微软官方给出的评分为 10 分(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C)。

当DNS服务器解析传入的查询或对转发请求响应时,可以利用该漏洞。

Check Point的研究人员发现,通过发送包含SIG记录(大于64KB)的DNS响应可以造成基于堆的缓冲区溢出,进而使攻击者能够控制服务器。

参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

受影响产品版本

  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

解决方案

微软官方已针对受影响系统发布安全补丁,强烈建议相关用户尽快安装补丁更新。补丁升级,参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

在应用补丁之前,建议将DNS消息(通过TCP)的最大长度设置为0xFF00缓解漏洞。可以通过执行以下命令实现:

reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f

net stop DNS && net start DNS

同时,建议设置DNS服务器为受信任的服务器。

Spread the word. Share this post!

Meet The Author

Leave Comment