已存在 17 年！微软修复无需交互即可传播的“可蠕虫”漏洞

技术编辑：芒果果丨发自 思否编辑部
SegmentFault 思否报道丨公众号：SegmentFault

最近，微软修复了一个已经存在 17 年的 DNS 漏洞，今年 5 月 CheckPoint 的安全研究人员发现了这种“可蠕虫”漏洞。

本周，微软安全响应中心发布了名为 CVE-2020-1350 Windows DNS Server Remote Code Execution Vulnerability 的漏洞补丁，修复这个存在了 17 年的服务器远程代码执行漏洞。

漏洞安全风险级别 CVSS 10.0

“可蠕虫”漏洞可能导致服务器无法正确的处理域名解析请求，如果被黑客利用可以对Windows DNS 服务器发起攻击，无需用户交互，便可以通过恶意软件在内部网络内的计算机之间传播。黑客甚至可以利用这个漏洞获得域管理员权限，并控制整个网络。

在发布的公告中，微软没有提及任何有关漏洞被利用的实例，但其给这个漏洞的安全风险评分定为了最高的 CVSS 10.0。

此外，微软和 Check Point 都将这个漏洞标记为可以通过恶意软件在易受攻击的服务器之间传播，而没有任何用户交互，除非在每台受影响的机器上都安装了补丁(或解决方案)。

“可蠕虫”漏洞，无需用户交互即可传播

前 NSA 安全分析师、现任 automatox 信息安全与研究主管克里斯•哈斯表示：“像这样的易读漏洞是攻击者最喜欢的，未经身份验证的黑客可以向易受攻击的 Windows DNS 服务器发送特制的数据包，以利用该机器，允许在本地系统帐户上下文中运行任意代码。此蠕虫功能增加了另一层严重性和影响，允许恶意软件作者编写类似于 Wannacry 和 NotPetya 的勒索软件。”

根据微软的建议，过去几个受影响的 Windows Server 版本，包括 2008、2012、2012R、2016 和 2019 都有补丁。但是，Check Point 表示 Server 2003 也受到了影响。Microsoft 不再正式支持 Windows Server 2003 或 2008。受影响的服务器包括同时具有传统 GUI 安装和 Server Core 安装的服务器。该漏洞仅限于 Microsoft 的 Windows DNS 服务器实现，因此 Windows DNS 客户端不受影响。

官方建议尽快安装补丁

微软建议所有组织尽快安装这个补丁。如果补丁无法快速应用，则敦促管理员实现以下解决方案:

1.在注册表中，移至以下项：HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters。

2.添加以下值：DWORD = TcpReceivePacketSize 并将值数据设置为 0xFF00。

3.然后，您需要重新启动计算机的 DNS 服务。

4.有关详细信息，请参阅微软的支持页面“ DNS 服务器漏洞指南 CVE-2020-1350”

5.应用实际补丁之后，删除 tcpreceivepackketsize 及其对应的数据，以便在关键字 HKEY _ local _ machine SYSTEM CurrentControlSet Services DNS 参数下的其他内容保持不变。

---

漏洞可能很快被网络犯罪分子利用

虽然现在还没有发现有人利用了这个漏洞，但网络犯罪分子发现此漏洞后一定会采取行动，因此尽快安装漏洞补丁才能更好的维护网络安全。

Kenna Security 研究主管乔纳森•克兰说：“我们预计，下周将出现针对这一特定漏洞的攻击，攻击速度可能会更快，而且会被广泛利用。漏洞只要求服务器向另一个恶意服务器发出请求，因此这将影响运行微软 DNS 服务器的大多数组织。简而言之，现在就修补这个高风险漏洞。”

Check Point 通过一篇博文详细描述了这个漏洞是如何工作的，并提醒公众该漏洞很可能被人利用。

Check Point 的漏洞研究小组负责人奥姆里 · 赫斯科维奇说：“DNS 服务器被破坏是一件非常严重的事情。大多数情况下，这使得袭击者距离破坏整个组织只有一英寸之遥。每个使用微软基础设施的组织，无论大小，如果没有打补丁，都会面临重大安全风险。这样做的风险将是整个公司网络被完全破坏。这个漏洞已经在微软代码中存在了超过17年，所以如果我们发现了它，很有可能其他人也发现了它。”