在2020年7月14日這天微軟發佈了一項 Windows DNS元件存在17年的重大 RCE漏洞。
這個漏洞影響2003年~2019年的所有Windows Server版本。
並且可能讓攻擊者遠端執行程式碼,還能自主感染其他機器,風險評分達最高等級的10.0。
編號 CVE-2020-1350的 DNS漏洞,主要發生在Windows DNS server解析外部傳入的
DNS查詢、以及針對轉送(forwarded)的DNS查詢回應進行解析的過程中。
攻擊者可以發出惡意DNS查詢,藉此觸發記憶體堆積區緩衝溢位(heap-based buffer
overflow),而讓攻擊者得以系統管理員權限執行任意程式碼,進而控管整臺Windows伺服器。
2種修補方式及相關資料請參考:
建議你可以先用修改登錄檔方式進行修補:
步驟一、請至您的DNS Server 增加或修改下面機碼
(修改前建議先備份您的登錄檔 )。Value:TcpReceivePacketSize
Type:DWORD
Value data:0xFF00
步驟二、停止並重新啟動DNS服務。
net stop dns
net start dns
其他相關問題:
👉解決方法是否適用於所有版本的Windows Server?Ans:該解決方法在運行DNS角色的所有Windows Server版本上均可用。
👉限制基於入站TCP的DNS響應數據包的允許大小是否會影響服務器執行DNS區域傳輸的能力?
Ans:我們已經確認此註冊表設置不會影響DNS區域傳輸。
👉我是否需要應用變通辦法並安裝更新才能完全保護系統?
Ans:不,兩個選項都不是必需的。我們建議您應用安全更新。但是,基於註冊表的解決方法可有效解決此漏洞。
👉應用安全更新後,是否需要刪除註冊表更改?
Ans:解決方法與安全更新兼容。但是,在應用更新後,將不再需要修改註冊表。最佳實踐表明,當不再需要註冊表修改時,為了避免由於運行非標準配置而可能導致的將來影響,請刪除註冊表修改。
👉在什麼情況下我會考慮使用註冊表項解決方法?
Ans:我們建議所有運行DNS服務器的人盡快安裝安全更新。如果無法立即應用更新,則可以在安裝更新標準節奏之前保護環境。
👉此解決方法會影響其他任何基於TCP的網絡通信嗎?
Ans:否。註冊表設置特定於基於入站TCP的DNS響應數據包,通常不會全局影響系統對TCP消息的處理。
~若您覺得本篇有幫助到你,也請幫忙按讚分享出去~
參考資料:
👉
iThome
