已存在 17 年！微軟修復無需交互便可傳播的「可蠕蟲」漏洞

技術編輯：芒果果丨發自 思否編輯部
SegmentFault 思否報道丨公衆號：SegmentFault

最近，微軟修復了一個已經存在 17 年的 DNS 漏洞，今年 5 月 CheckPoint 的安全研究人員發現了這種「可蠕蟲」漏洞。

本週，微軟安全響應中心發佈了名爲 CVE-2020-1350 Windows DNS Server Remote Code Execution Vulnerability 的漏洞補丁，修復這個存在了 17 年的服務器遠程代碼執行漏洞。

漏洞安全風險級別 CVSS 10.0

「可蠕蟲」漏洞可能致使服務器沒法正確的處理域名解析請求，若是被黑客利用能夠對Windows DNS 服務器發起攻擊，無需用戶交互，即可以經過惡意軟件在內部網絡內的計算機之間傳播。黑客甚至能夠利用這個漏洞得到域管理員權限，並控制整個網絡。

在發佈的公告中，微軟沒有說起任何有關漏洞被利用的實例，但其給這個漏洞的安全風險評分定爲了最高的 CVSS 10.0。

此外，微軟和 Check Point 都將這個漏洞標記爲能夠經過惡意軟件在易受攻擊的服務器之間傳播，而沒有任何用戶交互，除非在每臺受影響的機器上都安裝了補丁(或解決方案)。

「可蠕蟲」漏洞，無需用戶交互便可傳播

前 NSA 安全分析師、現任 automatox 信息安全與研究主管克里斯•哈斯表示：「像這樣的易讀漏洞是攻擊者最喜歡的，未經身份驗證的黑客能夠向易受攻擊的 Windows DNS 服務器發送特製的數據包，以利用該機器，容許在本地系統賬戶上下文中運行任意代碼。此蠕蟲功能增長了另外一層嚴重性和影響，容許惡意軟件做者編寫相似於 Wannacry 和 NotPetya 的勒索軟件。」

根據微軟的建議，過去幾個受影響的 Windows Server 版本，包括 200八、20十二、2012R、2016 和 2019 都有補丁。可是，Check Point 表示 Server 2003 也受到了影響。Microsoft 再也不正式支持 Windows Server 2003 或 2008。受影響的服務器包括同時具備傳統 GUI 安裝和 Server Core 安裝的服務器。該漏洞僅限於 Microsoft 的 Windows DNS 服務器實現，所以 Windows DNS 客戶端不受影響。

官方建議儘快安裝補丁

微軟建議全部組織儘快安裝這個補丁。若是補丁沒法快速應用，則敦促管理員實現如下解決方案:

1.在註冊表中，移至如下項：HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters。

2.添加如下值：DWORD = TcpReceivePacketSize 並將值數據設置爲 0xFF00。

3.而後，您須要從新啓動計算機的 DNS 服務。

4.有關詳細信息，請參閱微軟的支持頁面「 DNS 服務器漏洞指南 CVE-2020-1350」

5.應用實際補丁以後，刪除 tcpreceivepackketsize 及其對應的數據，以便在關鍵字 HKEY _ local _ machine SYSTEM CurrentControlSet Services DNS 參數下的其餘內容保持不變。

---

漏洞可能很快被網絡犯罪分子利用

雖然如今尚未發現有人利用了這個漏洞，但網絡犯罪分子發現此漏洞後必定會採起行動，所以儘快安裝漏洞補丁才能更好的維護網絡安全。

Kenna Security 研究主管喬納森•克蘭說：「咱們預計，下週將出現針對這一特定漏洞的攻擊，攻擊速度可能會更快，並且會被普遍利用。漏洞只要求服務器向另外一個惡意服務器發出請求，所以這將影響運行微軟 DNS 服務器的大多數組織。簡而言之，如今就修補這個高風險漏洞。」

Check Point 經過一篇博文詳細描述了這個漏洞是如何工做的，並提醒公衆該漏洞極可能被人利用。

Check Point 的漏洞研究小組負責人奧姆裏 · 赫斯科維奇說：「DNS 服務器被破壞是一件很是嚴重的事情。大多數狀況下，這使得襲擊者距離破壞整個組織只有一英寸之遙。每一個使用微軟基礎設施的組織，不管大小，若是沒有打補丁，都會面臨重大安全風險。這樣作的風險將是整個公司網絡被徹底破壞。這個漏洞已經在微軟代碼中存在了超過17年，因此若是咱們發現了它，頗有可能其餘人也發現了它。」