查看: 1284|回复: 0
收起左侧

[技术原创] DNS Server远程代码执行漏洞风险通告,腾讯云防火墙支持拦截漏洞利用

[复制链接]
腾讯电脑管家
发表于 2020-7-15 12:00:09 | 显示全部楼层 |阅读模式
一、漏洞描述
2020715日,微软发布补丁修复了一个标注为远程代码执行的DNS Server漏洞,官方分类为可蠕虫级高危漏洞,易受攻击的漏洞有可能通过恶意软件在易受攻击的计算机之间传播,而无需用户干预。CVSS评分10分(即高危且易利用),漏洞编号CVE-2020-1350
未经身份验证的攻击者可以发送特殊构造的数据包到目标DNS Server来利用此漏洞,成功利用此漏洞可能达到远程代码执行的效果。如果域控制器上存在DNS服务,攻击者可利用此漏洞获取到域控制器的系统权限。
另外,DNS服务器一旦被控制,会存在域名劫持风险。域控制器失陷将会对企业安全造成灾难性的后果,腾讯安全专家强烈建议相关企业尽快修复此漏洞。
二、漏洞影响范围
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)        
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)        
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)        
Windows Server 2012
Windows Server 2012 (Server Core)        
Windows Server 2012
Windows Server 2012 (Server Core)        
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)        
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)        
Windows Server 2016
Windows Server 2016 (Server Core)        
Windows Server 2019
Windows Server 2019 (Server Core)
Windows Server, version 1903 (Server Core)
Windows Server, version 1909 (Server Core)
Windows Server, version 2004 (Server Core)
启用DNS服务的系统会受影响。

三、补丁分析
对比打过补丁后的DNS Server,仅修改了一处SigWireRead:
补丁在RR_AllocateEx申请内存前,限制dns.rrsig.signature长度及dns.rrsig.signers_name长度,增加了申请内存大小的整型溢出检测:


四、漏洞检测、解决方案及缓解措施

1.腾讯云防火墙可以拦截利用CVE-2020-1350漏洞的网络攻击。
腾讯云防火墙(Cloud Firewall,CFW)是一款基于公有云环境的SaaS化防火墙,为用户提供互联网边界、VPC 边界的网络访问控制,可实现访问管控与安全防御的集成化与自动化。
扫描以下二维码,了解更多关于腾讯云防火墙的相关信息:
2. 腾讯T-Sec高级威胁检测系统已支持对CVE-2020-1350漏洞的利用检测,推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客的攻击行为进行检测。
腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta
3.个人用户推荐使用腾讯电脑管家、企业用户推荐使用腾讯零信任安全管理系统iOA扫描修复漏洞,也可通过Windows Update修复。亦可通过以下链接手动下载安装补丁:
4.缓解措施
通过注册表编辑器,限制tcp包的长度
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  DWORD = TcpReceivePacketSize
  Value = 0xFF00
然后,重启DNS服务生效。

参考资料

微软7月安全公告:
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jul
CVE-2020-1350 | Windows DNS服务器远程执行代码漏洞:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
July 2020 Security Update: CVE-2020-1350 Vulnerability in Windows Domain Name System (DNS) Server

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:22 , Processed in 0.146088 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表