综述
当地时间7月14日,微软最新的月度补丁更新中修复了一枚存在于Windows DNS 服务器中的可蠕虫化漏洞CVE-2020-1350(代号 SigRed)。这意味着攻击者利用该漏洞能够在没有任何用户交互的情况下,在易受攻击的机器间传播,从而有可能感染整个组织的网络。
据报道,该漏洞已经存在17 年之久,微软官方给出的评分为 10 分(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C)。
当DNS服务器解析传入的查询或对转发请求响应时,可以利用该漏洞。
Check Point的研究人员发现,通过发送包含SIG记录(大于64KB)的DNS响应可以造成基于堆的缓冲区溢出,进而使攻击者能够控制服务器。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
受影响产品版本
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
解决方案
微软官方已针对受影响系统发布安全补丁,强烈建议相关用户尽快安装补丁更新。补丁升级,参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
在应用补丁之前,建议将DNS消息(通过TCP)的最大长度设置为0xFF00缓解漏洞。可以通过执行以下命令实现:
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f
net stop DNS && net start DNS
同时,建议设置DNS服务器为受信任的服务器。