微软最近发布公告称,该公司将一个17年前的Windows DNS服务器关键漏洞列为 "可蠕虫"。这样的漏洞可能允许攻击者创建特殊的恶意软件,在Windows服务器上远程执行代码,并创建恶意的DNS查询,甚至最终可能导致企业和关键部门的基础设施被入侵 许多年前微软Windows DNS服务器出现过一个安全漏洞名为“蠕虫”,能够创造出恶意软件,一直对Windows Server版本有所影响,漏洞还会通过恶意软件进行设备间传播,如果不攻克此漏洞,Windows服务器将非常容易被攻击,最终形成重大安全风险,而这一漏洞已在Windows中存在了17年,如今才被微软通报。
微软Windows DNS服务器可形成蠕虫攻击
据外媒threatpost报道,微软将一个17年前的Windows DNS服务器的安全漏洞列为 “蠕虫”。这个漏洞可能允许攻击者创建特殊的恶意软件,甚至导致企业和关键部门的基础设施被入侵,这个漏洞影响所有Windows Server版本其他版Windows 10不受影响。
“蠕虫漏洞有可能在没有用户交互的情况下,通过恶意软件在易受攻击的计算机之间传播,”微软首席安全项目经理Mechele Gruhn解释说。“Windows DNS服务器是一个核心网络组件。虽然目前还不知道这个漏洞是否被用于主动攻击,但客户必须尽快应用Windows更新来解决这个漏洞。”
Check Point的研究人员发现了Windows DNS的安全漏洞,并在5月份向微软报告。如果不打补丁,就会使Windows服务器容易受到攻击,不过微软指出,目前还没有发现这个缺陷被利用的证据。
在所有被支持的Windows Server版本中都提供了修复该漏洞的补丁,但系统管理员必须在恶意行为者根据该漏洞制造恶意软件之前,尽快给服务器打上补丁。
“DNS服务器漏洞是一件非常严重的事情,”Check Point的漏洞研究团队负责人Omri Herscovici警告说。“这些漏洞类型只有少数几个发布过。每一个使用微软基础设施的组织,无论大小,如果不打补丁,都会面临重大安全风险,最坏的后果将是整个企业网络的彻底破坏。这个漏洞在微软的代码中已经存在了17年以上;既然我们能够发现这个漏洞,那么别人也已经发现了这个漏洞也不是不可能。”
Windows 10和其他客户端版本的Windows不受该漏洞的影响,因为它只影响微软的Windows DNS Server实现。微软还发布了一个基于注册表的工作方法,以防止管理员无法快速修补服务器时紧急处理缺陷。
研究人员告警组织机构尽快修复微软 Windows Server 各版本,以免企业网络遭严重的可蠕虫漏洞 SigRed 影响。
该漏洞编号是 CVE-2020-1350,CVSS 评分为满分10分,是由 Check Point 公司的研究员 Sagi Tzaik 发现的。该漏洞和Windows操作系统和Server软件上的域名系统服务微软 Windows DNS 有关。
Check Point 公司的研究人员将 该漏洞命名为 “SigRed”,认为它对企业的影响尤为重要,因为它是可蠕虫的(或自传播的),因此 能够在无需用户交互的情况下传播到易受攻击的机器中,可能攻陷企业的整个 PC 网络。
影响严重
安全团队表示,通过利用该缺陷,“黑客能够构造 Windows DNS 服务器的恶意 DNS 查询,并实现任意代码执行的后果,从而导致整个基础设施遭攻陷。”
该漏洞影响2003到2019年发布的所有 Windows Server 版本。
该漏洞是由 Windows DNS 服务器不正确地解析进入的 DNS 查询且不正确地处理转发 DNS 查询造成的。具体而言,发送大小超过64KB的 SIG 记录就能“导致受控的堆缓冲区在一个小型的分配缓冲区中溢出约64KB”,“触发恶意 DNS 查询,进而触发堆缓冲区溢出,导致黑客能够控制服务器并可能拦截和操纵用户邮件和网络流量,使得服务不可用、用户凭据被盗等。”
由于该服务以提升后的权限运行,因此如遭利用,则可导致攻击者获得域名管理员的权限。在一些场景中,可通过浏览器会话远程触发该漏洞。
Check Point 公司已发布一些技术分析,但并未发布具体详情,以便系统管理员能够有时间修复系统。
5月19日,Check Point 公司将研究成果告知微软。6月18日,微软验证该漏洞并颁发编号 CVE-2020-1350。7月9日,微软证实该漏洞是可蠕虫的并给出严重程度为高的CVSS 评分。
不排除已遭利用的可能性
微软已于7月15日发布的“补丁星期二”中发表了修复方案。
微软指出,“该问题的产生是因为微软DNS 服务器角色实现中存在一个缺陷,影响所有的 Windows Server 版本。非微软 DNS Server 不受影响。可蠕虫的漏洞可能在无需用户交互的前提下,通过易受攻击的计算机之间的恶意软件进行传播。Windows DNS Server 是一个核心网络组件,虽然目前尚未发现该漏洞遭利用的迹象,但客户应该尽快应用 Windows 更新予以修复。”
虽然目前尚未有证据表明该漏洞已遭利用,但它已在微软代码中潜伏17年之久。 Check Point 公司的研究人员表示,他们“无法排除”漏洞已遭利用的情形, “我们认为该漏洞遭利用的可能性较高,因为我们内部发现了利用该 bug 的所有原语。虽然受时间所限,我们无法继续探究该 bug 的利用(包括链接所有利用原语),但我们认为意志坚定的攻击者能够利用它。”
如需临时应变措施,Check Point 建议将 TCP 上最大的 DNS 消息长度设置为 0xFF00。微软也提供了一种应变措施。