2020年7月15日,微软发布补丁修复了一个标注为远程代码执行的DNS Server漏洞,官方分类为“可蠕虫级”高危漏洞,易遭攻击者利用的漏洞有可能通过恶意软件在易受攻击的计算机之间传播,而无需用户干预。该漏洞CVSS评分10分(即高危且易利用),漏洞编号为CVE-2020-1350。
未经身份验证的攻击者可以发送特殊构造的数据包到目标DNS Server来利用此漏洞。成功利用此漏洞可能达到远程代码执行的效果。如果域控制器上存在DNS服务,攻击者可利用此漏洞获取到域控制器的系统权限。
默安科技的哨兵云·智能资产风险监控系统、水滴·云主机安全管理系统、刃甲·网络攻击干扰压制系统、幻阵·高级威胁狩猎与溯源系统四款核心产品目前均已支持该漏洞的检测。
如果您的企业存在相关风险,可以联系我们辅助检测是否受到此类漏洞影响,以免被攻击者恶意利用,造成品牌和经济损失。
漏洞描述
漏洞发生在windows DNS服务器的dns.exe程序中,在调用RR_AllocateEx分配内存时,对RR_AllocateEx的传入参数的计算(将作为所分配的内存大小的一个参数值)没有做适当校验。RR_AllocateEx的计算公式为:[Name_PacketNameToCountNameEx result] + [0x14] + [The Signature field’s length (rdi–rax)]
其中该参数最大值为65535,攻击者如果能构造响应包使得Name_PacketNameToCountNameEx和signature的和超过65535则可造成整型溢出漏洞。
截至7月16日,网上已出现公开的漏洞利用PoC,该PoC目前可对DNS服务进行拒绝服务(DoS)攻击。
受影响版本
-
Windows Server 2008 for 32-bit Systems Service Pack 2
-
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
-
Windows Server 2008 for x64-based Systems Service Pack 2
-
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
-
Windows Server 2008 R2 for x64-based Systems Service Pack 1
-
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)
-
Windows Server 2012
-
Windows Server 2012 (Server Core)
-
Windows Server 2012 R2
-
Windows Server 2012 R2 (Server Core)
-
Windows Server 2016
-
Windows Server 2016 (Server Core)
-
Windows Server 2019
-
Windows Server 2019 (Server Core)
-
Windows Server,version 1903 (Server Core)
-
Windows Server, version 1909 (Server Core)
-
Windows Server, version 2004 (Server Core)
漏洞检测
对于该漏洞,哨兵云、水滴、刃甲、幻阵均已支持检测CVE-2020-1350,检测情况如下图所示。
![图片[1]-默安四款产品支持检测Windows DNS Server蠕虫级远程代码执行漏洞(CVE-2020-1350) – 作者:默安科技-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200717/1594955349.png)
哨兵云检测示例
![图片[2]-默安四款产品支持检测Windows DNS Server蠕虫级远程代码执行漏洞(CVE-2020-1350) – 作者:默安科技-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200717/1594955395.png)
水滴检测示例
![图片[3]-默安四款产品支持检测Windows DNS Server蠕虫级远程代码执行漏洞(CVE-2020-1350) – 作者:默安科技-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200717/1594955420.png)
刃甲检测示例
![图片[4]-默安四款产品支持检测Windows DNS Server蠕虫级远程代码执行漏洞(CVE-2020-1350) – 作者:默安科技-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200717/1594955436.png)
幻阵检测示例
修复建议
01 缓解措施
修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 中TcpReceivePacketSize的值为0xFF00,并重启DNS Service。
02 前往微软官方下载相应补丁进行更新
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
-
Windows Server 2008 (https://www.microsoft.com/en-us/windows-server/extended-security-updates)
-
Windows Server 2012 补丁:KB4565537
-
Windows Server 2012 R2 补丁:KB4565541
-
Windows Server 2016 补丁:KB4565511
-
Windows Server 2019 补丁:KB4558998
参考链接
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
SIGRed – Resolving Your Way into Domain Admin: Exploiting a 17 Year-old Bug in Windows DNS Servers
来源:freebuf.com 2020-07-17 11:12:17 by: 默安科技
请登录后发表评论
注册