DNS Server远程代码执行漏洞(CVE-2020-1350)风险通告,腾讯云防火墙已支持拦截漏洞利用

2020-07-15 10:54:23
2020年7月15日,微软发布补丁修复了一个标注为远程代码执行的DNS Server漏洞,官方分类为“可蠕虫级”高危漏洞,易受攻击的漏洞有可能通过恶意软件在易受攻击的计算机之间传播,而无需用户干预。CVSS评分10分(即高危且易利用),漏洞编号CVE-2020-1350。

一、漏洞描述

2020715日,微软发布补丁修复了一个标注为远程代码执行的DNS Server漏洞,官方分类为可蠕虫级高危漏洞,易受攻击的漏洞有可能通过恶意软件在易受攻击的计算机之间传播,而无需用户干预。CVSS评分10分(即高危且易利用),漏洞编号CVE-2020-1350

未经身份验证的攻击者可以发送特殊构造的数据包到目标DNS Server来利用此漏洞,成功利用此漏洞可能达到远程代码执行的效果。如果域控制器上存在DNS服务,攻击者可利用此漏洞获取到域控制器的系统权限。

另外,DNS服务器一旦被控制,会存在域名劫持风险。域控制器失陷将会对企业安全造成灾难性的后果,腾讯安全专家强烈建议相关企业尽快修复此漏洞。

二、漏洞影响范围

Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)        
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)        
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)        
Windows Server 2012
Windows Server 2012 (Server Core)        
Windows Server 2012
Windows Server 2012 (Server Core)        
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)        
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)        
Windows Server 2016
Windows Server 2016 (Server Core)        
Windows Server 2019
Windows Server 2019 (Server Core)
Windows Server, version 1903 (Server Core)
Windows Server, version 1909 (Server Core)
Windows Server, version 2004 (Server Core)

启用DNS服务的系统会受影响。

三、补丁分析

对比打过补丁后的DNS Server,仅修改了一处SigWireRead:

补丁在RR_AllocateEx申请内存前,限制dns.rrsig.signature长度及dns.rrsig.signers_name长度,增加了申请内存大小的整型溢出检测:

四、漏洞检测、解决方案及缓解措施

1.腾讯云防火墙可以拦截利用CVE-2020-1350漏洞的网络攻击。

腾讯云防火墙(Cloud FirewallCFW)是一款基于公有云环境的SaaS化防火墙,为用户提供互联网边界、VPC 边界的网络访问控制,可实现访问管控与安全防御的集成化与自动化。

更多关于腾讯云防火墙的相关信息,可参考:https://cloud.tencent.com/product/cfw


2. 腾讯T-Sec高级威胁检测系统已支持对CVE-2020-1350漏洞的利用检测,推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客的攻击行为进行检测。
腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta

3.个人用户推荐使用腾讯电脑管家、企业用户推荐使用腾讯T-Sec终端安全管理系统扫描修复漏洞,也可通过Windows Update修复。亦可通过以下链接手动下载安装补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

4.缓解措施

通过注册表编辑器,限制tcp包的长度

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

  DWORD = TcpReceivePacketSize

  Value = 0xFF00

然后,重启DNS服务生效。

等效操作,以管理员模式运行命令行:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f

net stop DNS && net start DNS

参考资料

1.微软7月安全公告:

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jul

2.CVE-2020-1350 | Windows DNS服务器远程执行代码漏洞:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

3.July 2020 Security Update: CVE-2020-1350 Vulnerability in Windows Domain Name System (DNS) Server

https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/

最新资讯