技术编辑:芒果果丨发自 思否编辑部
SegmentFault 思否报道丨公众号:SegmentFault
最近, 微软修复了一个曾经存在 17 年的 DNS 破绽 ,往年 5 月 CheckPoint 的平安钻研人员发现了这种“可蠕虫”破绽。
本周,微软平安响应核心公布了名为 CVE-2020-1350 Windows DNS Server Remote Code Execution Vulnerability 的漏洞补丁,修复这个存在了 17 年的服务器近程代码执行破绽。
破绽平安危险级别 CVSS 10.0
“可蠕虫”破绽可能导致服务器无奈正确的解决域名解析申请,如果被黑客利用能够对 Windows DNS 服务器发动攻打, 无需用户交互,便能够通过恶意软件在外部网络内的计算机之间流传。 黑客甚至能够利用这个破绽取得域管理员权限,并管制整个网络。
在公布的布告中,微软没有提及任何无关破绽被利用的实例,但其给这个破绽的平安危险评分定为了最高的 CVSS 10.0。
此外,微软和 Check Point 都将这个破绽标记为能够通过恶意软件在易受攻击的服务器之间流传,而没有任何用户交互,除非在每台受影响的机器上都装置了补丁 (或解决方案)。
“可蠕虫”破绽,无需用户交互即可流传
前 NSA 平安分析师、现任 automatox 信息安全与钻研主管克里斯•哈斯示意:“像这样的易读破绽是攻击者最喜爱的,未经身份验证的黑客能够向易受攻击的 Windows DNS 服务器发送特制的数据包,以利用该机器,容许在本地零碎帐户上下文中运行任意代码。此蠕虫性能减少了另一层严重性和影响,容许恶意软件作者编写相似于 Wannacry 和 NotPetya 的勒索软件。”
依据微软的倡议,过来几个受影响的 Windows Server 版本,包含 2008、2012、2012R、2016 和 2019 都有补丁。然而,Check Point 示意 Server 2003 也受到了影响。Microsoft 不再正式反对 Windows Server 2003 或 2008。受影响的服务器包含同时具备传统 GUI 装置和 Server Core 装置的服务器。该破绽仅限于 Microsoft 的 Windows DNS 服务器实现,因而 Windows DNS 客户端不受影响。
官网倡议尽快装置补丁
微软倡议所有组织尽快装置这个补丁。如果补丁无奈疾速利用,则催促管理员实现以下解决方案:
1. 在注册表中,移至以下项:HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters。
2. 增加以下值:DWORD = TcpReceivePacketSize 并将值数据设置为 0xFF00。
3. 而后,您须要重新启动计算机的 DNS 服务。
4. 无关详细信息,请参阅微软的反对页面“DNS 服务器破绽指南 CVE-2020-1350”
5. 利用理论补丁之后,删除 tcpreceivepackketsize 及其对应的数据,以便在关键字 HKEY _ local _ machine SYSTEM CurrentControlSet Services DNS 参数下的其余内容放弃不变。
破绽可能很快被网络犯罪分子利用
尽管当初还没有发现有人利用了这个破绽,但网络犯罪分子发现此破绽后肯定会采取行动,因而尽快装置漏洞补丁能力更好的保护网络安全。
Kenna Security 钻研主管乔纳森•克兰说:“咱们预计,下周将呈现针对这一特定破绽的攻打,攻击速度可能会更快,而且会被宽泛利用。破绽只要求服务器向另一个歹意服务器发出请求,因而这将影响运行微软 DNS 服务器的大多数组织。简而言之,当初就修补这个高风险破绽。”
Check Point 通过一篇博文详细描述了这个破绽是如何工作的,并揭示公众该破绽很可能被人利用。
Check Point 的破绽钻研小组负责人奥姆里 · 赫斯科维奇说:“DNS 服务器被毁坏是一件十分重大的事件。大多数状况下,这使得袭击者间隔毁坏整个组织只有一英寸之遥。每个应用微软基础设施的组织,无论大小,如果没有打补丁,都会面临重大平安危险。这样做的危险将是整个公司网络被齐全毁坏。这个破绽曾经在微软代码中存在了超过 17 年,所以如果咱们发现了它,很有可能其他人也发现了它。”