威胁信号报告
SigRed:CVE-2020-1350 Windows DNS服务器远程代码执行漏洞
描述
微软2020年7月14日的补丁星期二发布包含123个已披露漏洞。本月发布中包含一个Microsoft Windows Server的关键漏洞(CVE-2020-1350),允许未经认证的攻击者实现远程代码执行。微软已确认该漏洞具有蠕虫传播能力,无需用户交互。
漏洞具体细节是什么?
未经认证的攻击者可通过向Windows DNS服务器发送恶意DNS请求来攻击Microsoft Windows Server。该漏洞源于Microsoft DNS服务器角色实现中的缺陷,影响所有Windows Server版本。攻击者可能以本地系统账户身份运行任意代码。由于Windows DNS服务以SYSTEM权限运行,攻击者可获取域管理员权限并最终提升特权,可能导致组织网络被完全入侵。
受影响的软件版本有哪些?
- Windows Server 2019
- Windows Server 2019(服务器核心安装)
- Windows Server version 1909(服务器核心安装)
- Windows Server version 1903(服务器核心安装)
- Windows Server version 2004(服务器核心安装)
- Windows Server 2016
- Windows Server 2016(服务器核心安装)
- Windows Server 2008 32位系统Service Pack 2
- Windows Server 2008 32位系统Service Pack 2(服务器核心安装)
- Windows Server 2008 x64系统Service Pack 2
- Windows Server 2008 x64系统Service Pack 2(服务器核心安装)
- Windows Server 2008 R2 x64系统Service Pack 1
- Windows Server 2008 R2 x64系统Service Pack 1(服务器核心安装)
- Windows Server 2012
- Windows Server 2012(服务器核心安装)
- Windows Server 2012 R2
- Windows Server 2012 R2(服务器核心安装)
此问题是否仅限于Windows Server(和Microsoft)?
是的。这是Microsoft Windows Server特有的问题,仅影响Windows平台。
Microsoft Windows DNS客户端是否受此漏洞影响?
否。仅Microsoft Windows Server版本受影响。
是否有野外利用报告?
否。微软尚未观察到利用CVE-2020-1350的野外攻击。
有任何建议或缓解措施/变通方案吗?
由于该漏洞CVSS评分为10分且可能具有蠕虫传播影响,FortiGuard Labs建议运行受影响Windows Server版本的客户尽快应用本月更新。如果不可行,建议受影响用户执行微软以下变通方案步骤:
变通方案
以下注册表修改已被确认为此漏洞的变通方案:
|
|
注意:需要重启DNS服务才能生效。
请参阅KB4569509:DNS服务器漏洞CVE-2020-1350指南获取更多信息。
移除变通方案:
应用补丁后,管理员可以删除TcpReceivePacketSize值及其对应数据,使HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters键下的其他所有内容保持原样。
AV和IPS覆盖状态如何?
运行最新IPS定义(15.886)的Fortinet客户受到以下保护,免受CVE-2020-1350攻击: MS.Window.DNS.Server.SIG.Record.Parsing.Integer.Overflow
此事件不适合使用AV覆盖。
发布日期:2020年7月14日
标签:威胁信号
CVE ID:CVE-2020-1350
FortiGate设备触发:不适用
威胁参与者类型:不适用