漏洞通报|Microsoft DNS曝出远程代码执行漏洞

Posted 2021-04-01 TKSRC

点击上方“蓝字”关注我们吧！

近日，Microsoft 发布了有关Windows DNS 服务器远程代码执行漏洞，该漏洞可能允许攻击者创建特殊的恶意软件，在 Windows 服务器上远程执行代码，并创建恶意的 DNS 查询，最终可能导致服务器被攻陷。

目前，该漏洞编号为CVE-2020-1350，cvss评分为10，为严重风险漏洞，由于该漏洞可以在用户没有进行任何操作的情况下透过蠕虫感染其他计算机的，并且已发现有非法组织利用该漏洞进行攻击，因此建议进行紧急修复。

受影响范围

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)
Windows Server 2012
Windows Server 2012 (Server Core)
Windows Server 2012
Windows Server 2012 (Server Core)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)
Windows Server 2016
Windows Server 2016 (Server Core)
Windows Server 2019
Windows Server 2019 (Server Core)
Windows Server, version 1903 (Server Core)
Windows Server, version 1909 (Server Core)
Windows Server, version 2004 (Server Core)
启用DNS服务的系统会受影响。

规避方案

根据官方建议，提供如下处置方案，请用户自行进行影响评估，并对业务文件备份后，再执行操作，建议先在测试系统验证后再修复生产环境

1、立即应用修补程序

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

2、临时规避方案：

请进行以下注册表更改，以限制允许的最大入站 TCP DNS 响应数据包的大小：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters

TcpReceivePacketSize

Value = 0xFF00

注意 必须重新启动 DNS 服务才能使注册表更改生效。

默认值（也是 max）值 = 0xFFFF

推荐值 = 0xFF00 （小于 max 的255字节）

实现解决方法后，当上游服务器的 DNS 响应大于65280字节时，Windows DNS 服务器将无法解析其客户端的 DNS 名称。

点分享

点点赞

点在看