2020年7月16日,国家信息安全漏洞共享平台(CNVD)收录了Windows DNS Server远程代码执行漏洞(CNVD-2020-40487,对应CVE-2020-1350)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞利用细节已公开,微软公司已发布官方补丁。
一、漏洞情况分析
Microsoft Windows是美国微软公司发布的视窗操作系统。DNS(DomainName Server,域名服务器)是进行域名和对应IP地址的转换服务器。DNS中保存了域名与IP地址映射关系表,以解析消息的域名。
2020年7月16日,国家信息安全漏洞共享平台(CNVD)收录了Windows DNS Server远程代码执行漏洞。未经身份验证的攻击者利用该漏洞,向目标DNS服务器发送恶意构造请求,可以在目标系统上执行任意代码。由于该漏洞处于Windows DNS Server默认配置阶段即可触发,因此漏洞利用无需进行用户交互操作,存在被利用发起蠕虫攻击的可能。目前,已有公开渠道的漏洞利用模块发布,构成了蠕虫攻击威胁。
CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响的产品版本包括:
Windows Server 2008 for 32-bit SystemsService Pack 2
Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)
Windows Server 2008 for x64-based SystemsService Pack 2
Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-basedSystems Service Pack 1
Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Coreinstallation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Coreinstallation)
Windows Server 2016
Windows Server 2016 (Server Coreinstallation)
Windows Server 2019
Windows Server 2019 (Server Coreinstallation)
Windows Server, version 1903 (Server Coreinstallation)
Windows Server, version 1909 (Server Coreinstallation)
Windows Server, version 2004 (Server Coreinstallation)
三、漏洞处置建议
目前,微软官方已发布补丁修复此漏洞,CNVD建议用户立即升级至最新版本:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
另可采取下列临时防护措施:
1、注册表项中添加TcpReceivePacketSize键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
2、重新启动DNS服务。
附:参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
https://www.cnvd.org.cn/webinfo/show/5617