0x00 更新概览
07月16日,360CERT监测到FSecureLabs发布了PoC,可造成拒绝服务影响。本次更新标识该漏洞极易可能在短时间内出现大规模攻击态势。
具体更新详情可参考:漏洞详情
0x01 漏洞背景
07月15日, 360CERT监测发现微软官方发布了Windows DNS Server的风险通告,该漏洞编号为CVE--1350,漏洞等级:严重。
Windows DNS Server` 存在 `远程代码执行漏洞`,`远程攻击者` 通过 `向受影响服务器发送特制的请求包`,可以造成 `远程代码执行影响
微软官方认为该漏洞具备蠕虫攻击的能力,CVSS评分10(10分制)
对此,360CERT建议广大用户及时将Windows Server操作系统安装最新补丁。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该漏洞的评定结果如下
0x03 漏洞详情
Windows DNS Server是 Windows Server 服务器上一项重要功能组件。负责域内主机的所有DNS相关服务的调度和处理。
微软官方认为该漏洞具备蠕虫攻击的能力,CVSS评分10(10分制)
远程攻击者可不经过身份验证,向受影响的服务器发送特制的请求包,最终触发该漏洞。成功利用此漏洞的攻击者可在受影响的系统上执行任意代码,进而控制其他相连通的服务造成严重危害。
该漏洞潜在危害为:攻击者可利用此漏洞获得域控服务器权限、横向渗透、勒索、窃取信息等。
简要分析
漏洞成因如下:RR_AllocateEx 分配大小的参数由寄存器di传入,只有16个bit,大小为0~65535,所以只要构造size 大于65535,造成溢出,就会分配一个比实际数据量小的堆块,进而造成堆溢出,将整数溢出转化成堆溢出漏洞。
微软补丁patch如下:
目前该漏洞利用无需用户交互和认证,可远程执行,并且该漏洞影响面广泛,攻击场景如下:
(注:图片来自互联网)
目前漏洞利用Poc已公开,360CERT团队第一时间对网上公开的漏洞利用进行分析和复现,该Poc目前可对dns服务进行拒绝服务(DoS)攻击。
复现效果图:
0x04 影响版本
Windows Server for 32-bit Systems Service Pack 2Windows Server for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server for x64-based Systems Service Pack 2Windows Server for x64-based Systems Service Pack 2 (Server Core inastallation)Windows Server R2 for x64-based Systems Service Pack 1Windows Server R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server Windows Server (Server Core installation)Windows Server R2Windows Server R2 (Server Core installation)Windows Server Windows Server (Server Core installation)Windows Server Windows Server (Server Core installation)Windows Server version 1909 (Server Core installation)Windows Server version 1903 (Server Core installation)Windows Server version (Server Core installation)0x05 修复建议
缓解措施:
微软提供了临时的缓解措施:
修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters值:TcpReceivePacketSize数据类型DWORD = 0xFF00
注意:必须重新启动 DNS 服务才能生效。
有关更多信息,请参阅 KB4569509:DNS 服务器漏洞 CVE--1350 指南
/zh-cn/help/4569509/windows-dns-server-remote-code-execution-vulnerability
若要移除此临时解决方法:
应用修补程序后,管理员可以移除值TcpReceivePacketSize及其数据,以使注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters下的所有其他内容与之前保持相同。
通用修补建议:
360CERT建议通过安装360安全卫士进行一键更新。
/
应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。
Windows server / Windows 检测并开启Windows自动更新流程如下
点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。点击控制面板页面中的“系统和安全”,进入设置。在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)。
手动升级方案:
通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
CVE--1350 | Windows DNS 服务器远程执行代码漏洞
https://portal./zh-CN/security-guidance/advisory/CVE--1350
0x06 相关空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Windows DNS SERVER在全球具体分布如下图所示。
0x07 产品侧解决方案
360安全卫士
针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。
360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类漏洞进行监测,请用户联系相关产品区域负责人或(quake#)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#)获取对应产品。
0x08 时间线
-07-14微软发布安全更新
-07-15360CERT发布通告
-07-16FSecureLabs发布漏洞PoC
-07-16360CERT更新通告
0x0A 参考链接
CVE--1350 | Windows DNS 服务器远程执行代码漏洞[https://portal./zh-CN/security-guidance/advisory/CVE--1350]-07 补丁日: 微软多个产品高危漏洞安全风险通告 - 360CERT
[/warning/detail?id=63973c078e57c4aade34c2d82b42763f]SIGRed - Check Point | Critical Flash Alert CVE--1350
[https://mailchi.mp/7449207a7bf1/sigred-check-point-critical-flash-alert-cve--1350]CVE--1350: Windows DNS Server蠕虫级远程代码执行漏洞通告 - 360CERT
[/warning/detail?id=f0dbf54330467091e86643d2c0419a6b]
转载自https://mp./s/DgnjPGifGTD4nGxiF0IQCQ
如果觉得《【更新1.0:PoC发布】CVE--1350: Windows DNS Server蠕虫级远程代码执行漏洞通告》对你有帮助,请点赞、收藏,并留下你的观点哦!
