CVE-2020-1350: Windows DNS Server蠕蟲級遠程代碼執行漏洞通告

0x00 漏洞背景

2020年07月15日， 360CERT監測發現 微軟官方 發佈了 Windows DNS Server 的風險通告，該漏洞編號爲 CVE-2020-1350，漏洞等級：嚴重。html

Windows DNS Server 存在 遠程代碼執行漏洞，遠程攻擊者 經過 向受影響服務器發送特製的請求包，能夠形成 遠程代碼執行影響windows

微軟官方認爲該漏洞具有蠕蟲攻擊的能力，CVSS評分10(10分制)安全

對此，360CERT建議廣大用戶及時將 Windows Server操做系統 安裝最新補丁。與此同時，請作好資產自查以及預防工做，以避免遭受黑客攻擊。服務器

0x01 風險等級

360CERT對該漏洞的評定結果以下微信

評定方式	等級
威脅等級	嚴重
影響面	普遍

0x02 漏洞詳情

Windows DNS Server 是 Windows Server 服務器上一項重要功能組件。負責域內主機的全部DNS相關服務的調度和處理。網絡

微軟官方認爲該漏洞具有蠕蟲攻擊的能力，CVSS評分10(10分制)app

遠程攻擊者可不通過身份驗證，向受影響的服務器發送特製的請求包，最終觸發該漏洞，成功利用此漏洞的攻擊者可在受影響的系統上執行任意代碼。進而控制其餘相連通的服務形成嚴重危害。網站

0x03 影響版本

Windows Server 2008 for 32-bit Systems Service Pack 2ui
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)spa
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core inastallation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server version 1909 (Server Core installation)
Windows Server version 1903 (Server Core installation)
Windows Server version 2004 (Server Core installation)

0x04 修復建議

緩解措施

微軟提供了臨時的緩解措施：

修改註冊表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 值：TcpReceivePacketSize 數據類型 DWORD = 0xFF00

 注意：必須從新啓動 DNS 服務才能生效。

有關更多信息，請參閱 KB4569509：DNS 服務器漏洞 CVE-2020-1350 指南：
https://support.microsoft.com/zh-cn/help/4569509/windows-dns-server-remote-code-execution-vulnerability

若要移除此臨時解決方法：

應用修補程序後，管理員能夠移除值 TcpReceivePacketSize 及其數據，以使註冊表項 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 下的全部其餘內容與以前保持相同。

通用修補建議

360CERT建議經過安裝 360安全衛士進行一鍵更新。
http://weishi.360.cn/

應及時進行Microsoft Windows版本更新而且保持Windows自動更新開啓。

Windows server / Windows 檢測並開啓Windows自動更新流程以下

點擊開始菜單，在彈出的菜單中選擇「控制面板」進行下一步。
點擊控制面板頁面中的「系統和安全」，進入設置。
在彈出的新的界面中選擇「windows update」中的「啓用或禁用自動更新」。
而後進入設置窗口，展開下拉菜單項，選擇其中的自動安裝更新（推薦）。

手動升級方案：

經過以下連接自行尋找符合操做系統版本的漏洞補丁，並進行補丁下載安裝。

CVE-2020-1350 | Windows DNS 服務器遠程執行代碼漏洞
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1350

0x05 相關空間測繪數據

360安全大腦-Quake網絡空間測繪系統經過對全網資產測繪，發現 Windows DNS SERVER 在 全球 具體分佈以下圖所示。

0x06 產品側解決方案

360安全衛士

針對本次安全更新，Windows用戶可經過360安全衛士實現對應補丁安裝，其餘平臺的用戶能夠根據修復建議列表中的產品更新版本對存在漏洞的產品進行更新。

360城市級網絡安全監測服務

360安全大腦的QUAKE資產測繪平臺經過資產測繪技術手段，對該類漏洞進行監測，請用戶聯繫相關產品區域負責人或(quake#360.cn)獲取對應產品。

0x07 時間線

2020-07-14 微軟發佈安全更新

2020-07-15 360CERT發佈通告

0x08 參考連接

CVE-2020-1350 | Windows DNS 服務器遠程執行代碼漏洞 [https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1350]
2020-07 補丁日: 微軟多個產品高危漏洞安全風險通告 - 360CERT [https://cert.360.cn/warning/detail?id=63973c078e57c4aade34c2d82b42763f]