微软警告Windows Server中DNS组件有一项存在17年的漏洞,可能让攻击者远程执行程序代码,还能自主感染其他机器,风险评分达最高等级的10.0,影响2003年到2019年的所有Windows Server版本。微软已发布修补程序,呼吁IT管理员尽快安装。
编号CVE-2020-1350的DNS漏洞是由安全厂商Check Point披露并通报微软。它发生在Windows DNS server解析外部传入的DNS查询、以及针对转送(forwarded)的DNS查询回应进行解析的过程中。攻击者可以发出恶意DNS查询,借此触发内存堆积区缓冲溢出(heap-based buffer overflow),而让攻击者得以系统管理员权限执行任意程序代码,进而管控整台Windows服务器。Check Point又以SigRed来称呼此漏洞。
此外,微软形容这项漏洞为“wormable”(自主增生),即不需用户动作即可在Windows机器间传播。这表示黑客只要黑入一台Windows服务器即可启动连锁反应,由一台机器传播恶意程序到其他有漏洞的Windows机器,不必用户做什么动作,也让本漏洞在CVSS 3.0风险评分达到满分的10.0。
Check Point指出,由于许多企业IT管理员平常不会特别注意DNS的安全性,因该台Windows Server出现破口,即可成为超级感染者,几分钟内即可感染所有内部网络上的机器。
从2003到2019年推出的Windows Server都受本漏洞影响。不过除去已终止支持的版本,微软仅列出Windows Server 2008、2012、2016、2019以及Windows Server 1903、1909和最新的2004版。
Check Point 5月19日通报微软,微软已在7月14日(7月15日)的Patch Tuesday更新中,发布包含本漏洞在内修补程序。
微软强调目前没有证据显示CVE-2020-1350已经遭到开采。但基于其风险,微软呼吁用户尽快升级到最新版的Windows Server。
如果真的无法及时更新,微软也提供了权宜性的方法,借由修改Windows机码来减缓风险。