安全通告 | Windows DNS服务器远程执行代码漏洞风险通告(CVE-2020-1350)
安全通告 | Windows DNS服务器远程执行代码漏洞风险通告(CVE-2020-1350)
近日,腾讯安全云鼎实验室监测到,微软于周二发布了一个存在17年之久的蠕虫级安全漏洞(代号: SIGRed ,漏洞编号CVE-2020-1350),漏洞被利用可导致 Windows DNS服务器中的严重远程执行代码(RCE) 。
为避免您的业务受影响,腾讯安全云鼎实验室建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
2020年7月15日,微软发布补丁修复了一个标注为远程代码执行的DNS Server漏洞,官方分类为“蠕虫级”高危漏洞,漏洞有可能通过恶意软件在易受攻击的计算机之间传播,而无需用户干预。CVSS评分10分(即高危且易利用)。
SIGRed漏洞源于Windows DNS服务器处理签名(SIG)记录查询的缺陷所致,超过64 KB的恶意SIG记录会导致堆缓冲区溢出,从而使攻击者能够远程执行具有高特权的代码,并远程接管易受攻击的服务器。
风险等级
高风险
漏洞风险
未经身份验证的攻击者可以发送特殊构造的数据包到目标DNS Server来利用此漏洞,成功利用此漏洞可能达到远程代码执行的效果。如果域控制器上存在DNS服务,攻击者可利用此漏洞获取到域控制器的系统权限。
影响版本
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)
- Windows Server 2012
- Windows Server 2012 (Server Core)
- Windows Server 2012
- Windows Server 2012 (Server Core)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core)
- Windows Server 2016
- Windows Server 2016 (Server Core)
- Windows Server 2019
- Windows Server 2019 (Server Core)
- Windows Server, version 1903 (Server Core)
- Windows Server, version 1909 (Server Core)
- Windows Server, version 2004 (Server Core)
启用DNS服务的系统会受影响
修复建议
微软官方已发布漏洞修复更新,腾讯云安全建议您:
1)更新系统补丁:确保服务器打上了所需的补丁,打开 Windows Update 更新功能或下载修复补丁,点击“检查更新”;
2)临时缓解方案:如果无法快速应用更新,则可以运行如下命令缓解该漏洞(注意:必须重新启动DNS服务才能生效):
reg add"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS(左右滑动查看全部代码)
腾讯云防火墙可以拦截利用CVE-2020-1350漏洞的网络攻击。
腾讯云高级威胁检测系统已支持对CVE-2020-1350漏洞的利用检测。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。
关注云鼎实验室,获取更多安全情报
