查看: 6698|回复: 0
收起左侧

[比特梵德] CVE-2020-1350 | Windows DNS Server远程代码执行漏洞通告

[复制链接]
纽盖特
发表于 2020-7-17 20:30:02 | 显示全部楼层 |阅读模式
2020年7月14日,微软发布补丁修复了一个标注为远程代码执行的DNS Server漏洞,官方分类为“可蠕虫级”高危漏洞,易受攻击的漏洞有可能通过恶意软件在易受攻击的计算机之间传播,而无需用户干预。CVSS评分10分(即高危且易利用),漏洞编号CVE-2020-1350,此漏洞被称为SIGRed。

未经身份验证的攻击者可以发送特殊构造的数据包到目标DNS Server来利用此漏洞,成功利用此漏洞可能达到远程代码执行的效果。如果域控制器上存在DNS服务,攻击者可利用此漏洞获取到域控制器的系统权限。

另外,DNS服务器一旦被控制,会存在域名劫持风险。域控制器失陷将会对企业安全造成灾难性的后果,Bitdefender强烈建议相关企业尽快修复此漏洞。

受影响的系统:Windows Server 2008, 2012,2016,2019

Bitdefender提供的漏洞检测、解决方案及缓解措施:
1. 使用Bitdefender 漏洞扫描与补丁管理系统的用户,可通过Bitdefender漏洞扫描你的Windows服务器,并修复此漏洞。

2. 在Citrix XenServer和KVM等虚拟化环境,使用Bitdefender Hypervisor Introspection的用户,可以在虚拟化底层,自动拦截CVE-2020-1350漏洞利用攻击。

关于Bitdefender Hypervisor Introspection
Bitdefender Hypervisor Introspection(HVI)不需要在VM中安装代{过}{滤}理,而是使用API与管理HVI的安全服务器共享每个VM的内存活动,在Hypervisor底层防护,一旦检测到违规,就会从Hypervisor底层实时停止攻击。

HVI旨在通过在虚拟化内存管理单元(MMU)的扩展页表(EPT)级别将其标记为不可执行,来阻止可疑内存区域内的代码执行。任何未被合法加载的模块支持的内存区域(例如,堆栈,堆或其他动态分配的内存)都被HVI视为可疑内存,并且默认情况下,该区域中的任何代码都被阻止执行。

CVE-2020-1350漏洞利用场景通常涉及从一个可疑的内存区域执行Shellcode,这是一种常见的且经过验证的用于内存损坏攻击启动器。示例包括缓冲区溢出(无论是堆栈还是堆)以及释放后使用或整数溢出,最终导致越界访问,这些越界访问可以将控制权交给攻击者。也可以使用诸如ROP之类的技术,通常利用这些技术为最终的shellcode准备适当的执行环境,然后将其存储在可疑的内存区域中,所有这些内容对于HVI都是可见的。

CVE-2020-1350是整数溢出的典型示例,该整数溢出创建基于堆的缓冲区溢出,然后利用该溢出在受影响的主机上获得任意代码执行。一旦漏洞利用绕过了现有的缓解措施(包括CFG,ASLR和DEP),它通常会运行位于此类可疑内存区域内的shellcode。HVI旨在拦截和阻止此执行,从而阻止漏洞利用。

欲了解更多,请下载Bitdefender HVI白皮书:
http://www.bitdefender-cn.com/downloads/datasheet/Bitdefender-HVI.pdf

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 13:28 , Processed in 0.135949 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表