漏洞描述
Windows DNS Server 是 Windows Server 服务器上一项重要功能组件。负责域内主机的所有DNS相关服务的调度和处理。
该漏洞由于Windows DNS Server未能正确处理特定畸形数据交互,从而导致远程无需验证的攻击者通过利用在本地系统账户下执行任意代码。该漏洞在微软的通告中被定级为可蠕虫化级别,此类型的漏洞在被利用后,往往会导致严重的安全威胁,类似之前被利用来传播WannaCry蠕虫的永恒之蓝漏洞。
禹宏信安第一时间跟进了该漏洞,基于所得到的技术细节,该漏洞是由于Windows DNS Server处理畸形回应数据时存在的整数溢出问题,目前已经验证了此漏洞可被攻击者完全操控触发,存在大范围攻击利用的可能性。而且漏洞影响从Windows Server 2008到2019的操作系统,几乎涵盖所有相关的Windows服务器。因此,禹宏信安提醒启用了Windows DNS Server相关功能的用户及时安装该漏洞的补丁。
漏洞编号
CVE-2020-1350
漏洞危害
攻击者通过向指定的Windows DNS Server发送恶意的DNS畸形请求,将导致远程代码执行。
漏洞等级
高危
受影响版本
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
修复方案
- 补丁更新
针对该漏洞,微软已发布相关补丁更新,见如下链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
- 临时缓解措施
对于无法迅速安装补丁的用户,也可以通过设置以下注册表暂时缓解,设置注册表之后重启DNS服务即可生效。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
参考链接
- https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jul
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350