技術編輯:芒果果丨發自 思否編輯部
SegmentFault 思否報道丨公眾號:SegmentFault
最近,微軟修復了一個已經存在 17 年的 DNS 漏洞,今年 5 月 CheckPoint 的安全研究人員發現了這種「可蠕蟲」漏洞。
本周,微軟安全響應中心發布了名為 CVE-2020-1350 Windows DNS Server Remote Code Execution Vulnerability 的漏洞補丁,修復這個存在了 17 年的伺服器遠程代碼執行漏洞。
漏洞安全風險級別 CVSS 10.0
「可蠕蟲」漏洞可能導致伺服器無法正確的處理域名解析請求,如果被黑客利用可以對Windows DNS 伺服器發起攻擊,無需用戶交互,便可以通過惡意軟體在內部網絡內的計算機之間傳播。黑客甚至可以利用這個漏洞獲得域管理員權限,並控制整個網絡。
在發布的公告中,微軟沒有提及任何有關漏洞被利用的實例,但其給這個漏洞的安全風險評分定為了最高的 CVSS 10.0。
此外,微軟和 Check Point 都將這個漏洞標記為可以通過惡意軟體在易受攻擊的伺服器之間傳播,而沒有任何用戶交互,除非在每台受影響的機器上都安裝了補丁(或解決方案)。
「可蠕蟲」漏洞,無需用戶交互即可傳播
前 NSA 安全分析師、現任 automatox 信息安全與研究主管克里斯•哈斯表示:「像這樣的易讀漏洞是攻擊者最喜歡的,未經身份驗證的黑客可以向易受攻擊的 Windows DNS 伺服器發送特製的數據包,以利用該機器,允許在本地系統帳戶上下文中運行任意代碼。此蠕蟲功能增加了另一層嚴重性和影響,允許惡意軟體作者編寫類似於 Wannacry 和 NotPetya 的勒索軟體。」
根據微軟的建議,過去幾個受影響的 Windows Server 版本,包括 2008、2012、2012R、2016 和 2019 都有補丁。但是,Check Point 表示 Server 2003 也受到了影響。Microsoft 不再正式支持 Windows Server 2003 或 2008。受影響的伺服器包括同時具有傳統 GUI 安裝和 Server Core 安裝的伺服器。該漏洞僅限於 Microsoft 的 Windows DNS 伺服器實現,因此 Windows DNS 客戶端不受影響。
官方建議儘快安裝補丁
微軟建議所有組織儘快安裝這個補丁。如果補丁無法快速應用,則敦促管理員實現以下解決方案:
1.在註冊表中,移至以下項:HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services DNS Parameters。
2.添加以下值:DWORD = TcpReceivePacketSize 並將值數據設置為 0xFF00。
3.然後,您需要重新啟動計算機的 DNS 服務。
4.有關詳細信息,請參閱微軟的支持頁面「 DNS 伺服器漏洞指南 CVE-2020-1350」
5.應用實際補丁之後,刪除 tcpreceivepackketsize 及其對應的數據,以便在關鍵字 HKEY _ local _ machine SYSTEM CurrentControlSet Services DNS 參數下的其他內容保持不變。
漏洞可能很快被網絡犯罪分子利用
雖然現在還沒有發現有人利用了這個漏洞,但網絡犯罪分子發現此漏洞後一定會採取行動,因此儘快安裝漏洞補丁才能更好的維護網絡安全。
Kenna Security 研究主管喬納森•克蘭說:「我們預計,下周將出現針對這一特定漏洞的攻擊,攻擊速度可能會更快,而且會被廣泛利用。漏洞只要求伺服器向另一個惡意伺服器發出請求,因此這將影響運行微軟 DNS 伺服器的大多數組織。簡而言之,現在就修補這個高風險漏洞。」
Check Point 通過一篇博文詳細描述了這個漏洞是如何工作的,並提醒公眾該漏洞很可能被人利用。
Check Point 的漏洞研究小組負責人奧姆里 · 赫斯科維奇說:「DNS 伺服器被破壞是一件非常嚴重的事情。大多數情況下,這使得襲擊者距離破壞整個組織只有一英寸之遙。每個使用微軟基礎設施的組織,無論大小,如果沒有打補丁,都會面臨重大安全風險。這樣做的風險將是整個公司網絡被完全破壞。這個漏洞已經在微軟代碼中存在了超過17年,所以如果我們發現了它,很有可能其他人也發現了它。」
文章來源: https://twgreatdaily.com/zh-mo/B3E4XHMBiuFnsJQV3PEz.html