文档信息
| 编号 | QiAnXinTI-SV-2020-0013 |
| 关键字 | DNS Server CVE-2020-1350 |
| 创建日期 | 2020年07月14日 |
| 更新日期 | 2020年07月14日 |
| TLP | WHITE |
| 分析团队 | 奇安信威胁情报中心红雨滴团队 |
通告概要
2020年7月14日,在微软每月的例行补丁日当天,修复了一个Window DNS Server中的严重远程代码执行漏洞,该漏洞由于Windows DNS Server未能正确处理特定畸形数据交互,从而导致远程无需验证的攻击者通过利用在本地系统账户下执行任意代码。该漏洞在微软的通告中被定级为可蠕虫化级别,此类型的漏洞在被利用后,往往会导致严重的安全威胁,类似之前被利用来传播WannaCry蠕虫的永恒之蓝漏洞。
奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞,基于所得到的技术细节,该漏洞是由于Windows DNS Server处理畸形回应数据时存在的整数溢出问题,目前红雨滴团队已经验证了此漏洞可被攻击者完全操控触发,存在被大范围攻击利用的可能性。而且漏洞影响从Windows Server 2008到2019的操作系统,几乎涵盖所有相关的Windows服务器。因此,奇安信威胁情报中心提醒启用了Windows DNS Server相关功能的用户及时安装该漏洞的补丁。
漏洞概要
| 漏洞名称 | Microsoft DNS Server执行漏洞(CVE-2020-1350) |
| 威胁类型 | 远程代码执行 |
| 威胁等级 | 严重 |
| 漏洞ID | CVE-2020-1350 |
| 利用场景 | 远程无需验证的攻击者可以通过诱使Windows DNS Server处理特定的畸形数据触发漏洞在服务器上执行任意代码,从而控制服务器系统。 |
| 受影响系统及应用版本 | |
| 产品 | 平台 |
| Windows DNS Server | Windows Server 2008 for 32-bit Systems Service Pack 2 |
| Windows DNS Server | Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) |
| Windows DNS Server | Windows Server 2008 for x64-based Systems Service Pack 2 |
| Windows DNS Server | Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) |
| Windows DNS Server | Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
| Windows DNS Server | Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) |
| Windows DNS Server | Windows Server 2012 |
| Windows DNS Server | Windows Server 2012 (Server Core installation) |
| Windows DNS Server | Windows Server 2012 R2 |
| Windows DNS Server | Windows Server 2012 R2 (Server Core installation) |
| Windows DNS Server | Windows Server 2016 |
| Windows DNS Server | Windows Server 2016 (Server Core installation) |
| Windows DNS Server | Windows Server 2019 |
| Windows DNS Server | Windows Server 2019 (Server Core installation) |
| Windows DNS Server | Microsoft Windows Server version 1903 (Server Core installation) |
| Windows DNS Server | Microsoft Windows Server version 1909 (Server Core installation) |
| Windows DNS Server | Microsoft Windows Server version 2004 (Server Core installation) |
漏洞描述
该漏洞为Windows DNS server无法正确处理指定请求,攻击者通过向指定的Windows DNS Server发送恶意的DNS畸形请求,将导致远程代码执行。
影响面评估
该漏洞影响几乎全版本的Windows DNS Server,奇安信全球鹰系统总体评估全球受影响服务器在万级,鉴于漏洞本身的严重性,相关使用了Windows DNS Sever的用户需尽快为服务器打上补丁。
处置建议
临时处置措施
针对该漏洞,微软已发布相关补丁更新,见如下链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
对于无法迅速安装补丁的用户,也可以通过设置以下注册表暂时缓解,设置注册表之后重启DNS服务即可生效。
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00 |
相关补丁安装成功后,删除TcpReceivePacketSize键值即可。
时间线
| 2020年7月14日 | 微软发布此漏洞相关的通告。 |
参考资料
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350