[說明]
Windows Server中DNS元件存在漏洞,可能讓攻擊者遠端執行程式碼,還能自主感染其他機器,風險評分達最高等級的10.0
影響 Windows Server 2003 到 Windows Server 2019 的Windows Server版本.
微軟相關資料:
KB4569509: DNS 伺服器漏洞 CVE 的指導方針-2020-1350
https://support.microsoft.com/zh-tw/hel ... nerability
因應措施1:
若要解決此漏洞,請進行下列註冊表變更,以限制所允許的最大輸入 TCP DNS 回應資料包大小:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Value = 0xFF00
注意:您必須重新開機,才能使註冊表變更生效。
註解:
預設值(也就是 max) = 0xFFFF
建議的值 = 0xFF00 (255位元組小於最大值)
因應措施2:
1.將需線內的文字用記事本存成-> DNSServer-Fix.bat
-----------------------------
@echo off
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f
net stop DNS && net start DNS
---------------------------------
2.執行DNSServer-Fix.bat
3.重新開機.
以上2個因應措施選擇一個在你的Windows Server 上面執行即可.
PS:在執行此因應措施之後,當上游伺服器的 DNS 回應大於65280位元組時,Windows DNS 伺服器將無法解析其用戶端的 DNS 名稱。
參考資料:
微軟修補17年可自主增生的Windows DNS重大RCE漏洞
https://www.ithome.com.tw/news/138831?f ... iRIuyUsycs
CVE-2020-1350 | Windows DNS服務器遠程執行代碼漏洞
https://portal.msrc.microsoft.com/zh-CN ... -2020-1350
2020年7月安全更新:Windows域名系統(DNS)服務器中的CVE-2020-1350漏洞
https://msrc-blog.microsoft.com/2020/07 ... ns-server/
SIGRed –解決您進入域管理的方式:利用Windows DNS服務器中存在17年的錯誤
https://research.checkpoint.com/2020/re ... s-servers/