微軟提供因應措施解決 Windows DNS服務器存在17年的重大漏洞

版主: DarkSkyline

微軟提供因應措施解決 Windows DNS服務器存在17年的重大漏洞

文章DarkSkyline » 週四 7月 16日, 2020年 5:00 pm

[說明]
Windows Server中DNS元件存在漏洞,可能讓攻擊者遠端執行程式碼,還能自主感染其他機器,風險評分達最高等級的10.0
影響 Windows Server 2003 到 Windows Server 2019 的Windows Server版本.

微軟相關資料:
KB4569509: DNS 伺服器漏洞 CVE 的指導方針-2020-1350
https://support.microsoft.com/zh-tw/hel ... nerability

因應措施1:
若要解決此漏洞,請進行下列註冊表變更,以限制所允許的最大輸入 TCP DNS 回應資料包大小:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Value = 0xFF00

注意:您必須重新開機,才能使註冊表變更生效。

註解:
預設值(也就是 max) = 0xFFFF
建議的值 = 0xFF00 (255位元組小於最大值)

因應措施2:
1.將需線內的文字用記事本存成-> DNSServer-Fix.bat
-----------------------------
@echo off
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f

net stop DNS && net start DNS
---------------------------------

2.執行DNSServer-Fix.bat
3.重新開機.

以上2個因應措施選擇一個在你的Windows Server 上面執行即可.

PS:在執行此因應措施之後,當上游伺服器的 DNS 回應大於65280位元組時,Windows DNS 伺服器將無法解析其用戶端的 DNS 名稱。


參考資料:
微軟修補17年可自主增生的Windows DNS重大RCE漏洞
https://www.ithome.com.tw/news/138831?f ... iRIuyUsycs

CVE-2020-1350 | Windows DNS服務器遠程執行代碼漏洞
https://portal.msrc.microsoft.com/zh-CN ... -2020-1350

2020年7月安全更新:Windows域名系統(DNS)服務器中的CVE-2020-1350漏洞
https://msrc-blog.microsoft.com/2020/07 ... ns-server/

SIGRed –解決您進入域管理的方式:利用Windows DNS服務器中存在17年的錯誤
https://research.checkpoint.com/2020/re ... s-servers/
http://www.ublink.org
Tel:04-22605121
E-Mail:eric@ublink.org
Skype:ublink-eric
LineID:0937720133
頭像
DarkSkyline
Site Admin
 
文章: 1830
註冊時間: 週五 12月 8日, 2006年 11:41 am
來自: 台中
送出感謝: 0 次
擁有感謝: 2

回到 windows 作業系統

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 5 位訪客