【安全通报】Windows DNS Server远程代码执行漏洞

Windows DNS是基础网络组件，通常安装在域控制器上，因此，本次DNS Server远程代码执行漏洞（CVE-2020-1350），可能导致严重的服务中断或获取高级域帐户。该漏洞源于Microsoft DNS服务器角色实现中的缺陷引起的，不是协议级缺陷，故不会影响任何其他非Microsoft DNS服务器或Windows DNS客户端。

未经身份验证的攻击者可以通过给Windows DNS服务器发送恶意请求来利用此漏洞，成功利用此漏洞的攻击者，能够以本地系统账户的身份执行任意代码。

CVSS评分10，官方将此漏洞归类为可蠕虫攻击漏洞，可能通过恶意软件在易受攻击的计算机之间传播，无需用户干预。

CVE编号

CVE-2020-1350

影响范围

启动DNS服务的所有Windows Server版本

Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-ba sed Systems Service Pack 2
Windows Server 2008 for x64-ba sed Systems Service Pack 2 (Server Core)        
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-ba sed Systems Service Pack 2
Windows Server 2008 for x64-ba sed Systems Service Pack 2 (Server Core)
Windows Server 2008 R2 for x64-ba sed Systems Service Pack 1
Windows Server 2008 R2 for x64-ba sed Systems Service Pack 1 (Server Core)        
Windows Server 2008 R2 for x64-ba sed Systems Service Pack 1
Windows Server 2008 R2 for x64-ba sed Systems Service Pack 1 (Server Core)        
Windows Server 2012
Windows Server 2012 (Server Core)        
Windows Server 2012
Windows Server 2012 (Server Core)        
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)        
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)        
Windows Server 2016
Windows Server 2016 (Server Core)        
Windows Server 2019
Windows Server 2019 (Server Core)
Windows Server, version 1903 (Server Core)
Windows Server, version 1909 (Server Core)
Windows Server, version 2004 (Server Core)

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Windows-Server-2008" || app="Windows-Server-2012" || app="Windows-Server-2012"）共有 35000 个相关服务对外开放。中国使用数量最多，共有 19494 个；美国第二，共有 5023个；日本第三，共有 1045个；新加坡第四，共有 930 个；加拿大第五，共有 847个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 4775 个；北京第二，共有 3208个，广东第三，共有 746个；福建第四，共有 324个；上海第五，共有 247个。

修复建议

基于注册表的解决办法（无需重启服务器，需重启DNS服务）

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 
DWORD = TcpReceivePacketSize 
Value = 0xFF00

进行安全更新方法

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-1350

进行补丁更新后，若进行过“基于注册表的解决办法”，可通过如下方法删除：

为保证键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters下的所有其他内容保持不变，需以管理员身份删除值TcpReceivePacketSize及其对应的数据，

参考

[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

[2] https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。