Microsoft Windows DNS服务器远程代码执行漏洞SigRed（CVE-2020-1350）防护方案

2020-07-16

一. 综述

当地时间7月14日，微软最新的月度补丁更新中修复了一枚存在于Windows DNS 服务器中的可蠕虫化漏洞CVE-2020-1350（代号 SigRed）。这意味着攻击者利用该漏洞能够在没有任何用户交互的情况下，在易受攻击的机器间传播，从而有可能感染整个组织的网络。

据报道，该漏洞已经存在17 年之久，微软官方给出的评分为 10 分（CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C）。

未经身份验证的攻击者可以通过向Windows DNS服务器发送恶意请求来利用该漏洞。Check Point的研究人员发现，通过发送包含SIG记录（大于64KB）的DNS响应可以造成基于堆的缓冲区溢出，进而使攻击者能够控制服务器。

目前漏洞细节已公开，请相关用户尽快采取措施进行防护。

参考链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

二. 漏洞影响范围

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

三. 技术防护方案

3.1 官方修复方案

微软官方已针对受影响系统发布了安全补丁，强烈建议相关用户尽快安装更新。

补丁更新参考官方通告：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

3.2 缓解措施

如果无法立即安装更新，官方提供了如下缓解措施：

建议进行以下注册表更改，以限制允许的最大入站 TCP DNS 响应数据包的大小：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f

net stop DNS && net start DNS

在安装补丁程序后，建议在注册表中移除 TcpReceivePacketSize 及其数据，以使注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 下的所有其他内容与之前保持一致。

https://support.microsoft.com/zh-cn/help/4569509/windows-dns-server-remote-code-execution-vulnerability

3.3 绿盟科技检测防护建议

3.3.1 海王捕鱼检测类产品与服务

内网资产可以使用海王捕鱼的远程安全评估系统（RSAS V6）、入侵检测系统(IDS)、统一威胁探针（UTS）进行检测。

远程安全评估系统（RSAS V6）http://update.nsfocus.com/update/listRsas

入侵检测系统（IDS）

http://update.nsfocus.com/update/listIds

统一威胁探针（UTS）

http://update.nsfocus.com/update/bsaUtsIndex

3.3.1.1 检测产品升级包/规则版本号

检测产品	升级包/规则版本号
RSAS V6 系统插件	6.0R02F01.1903
IDS	5.6.10.23040 5.6.9.23040
UTS	5.6.10.23040

RSAS V6 系统插件包下载链接：

http://update.nsfocus.com/update/downloads/id/106565

IDS 升级包下载链接：

5.6.10.23040

http://update.nsfocus.com/update/downloads/id/106570

5.6.9.23040

http://update.nsfocus.com/update/downloads/id/106569

UTS升级包下载链接：

http://update.nsfocus.com/update/downloads/id/106574

3.3.2 海王捕鱼防护类产品

使用海王捕鱼防护类产品，入侵防护系统（IPS）、下一代防火墙系统（NF）来进行防护。

入侵防护系统（IPS）

http://update.nsfocus.com/update/listIps

下一代防火墙系统（NF）

http://update.nsfocus.com/update/listNf

3.3.2.1 防护产品升级包/规则版本号

防护产品

升级包/规则版本号

规则编号

IPS

5.6.10.23040

5.6.9.23040

24962

6.0.2.819

6.0.1.819

24967

IPS 升级包下载链接：

5.6.10.23040

http://update.nsfocus.com/update/downloads/id/106570

5.6.9.23040

http://update.nsfocus.com/update/downloads/id/106569

NF 升级包下载链接：

6.0.2.819

http://update.nsfocus.com/update/downloads/id/106592

6.0.1.819

http://update.nsfocus.com/update/downloads/id/106591

附录A 产品使用指南

RSAS扫描配置

在系统升级中，点击下图红框位置选择文件。

海王捕鱼

选择下载好的相应升级包，点击升级按钮进行手动升级。等待升级完成后，可通过定制扫描模板，针对此次漏洞进行扫描。

UTS检测配置

在系统升级中点击离线升级，选择规则升级文件，选择对应的升级包文件，点击上传，等待升级成功即可。

海王捕鱼

IPS防护配置

在系统升级中点击离线升级，选择系统规则库，选择对应的文件，点击上传。

海王捕鱼

更新成功后，在系统默认规则库中查找规则编号，即可查询到对应的规则详情。

海王捕鱼

注意：该升级包升级后引擎自动重启生效，不会造成会话中断，但ping包会丢3~5个，请选择合适的时间升级。

NF防护配置

在 NF 的规则升级界面进行升级：

海王捕鱼

手动选择规则包，提交即可完成更新。

声明

本安全公告仅用来描述可能存在的安全问题，海王捕鱼不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，海王捕鱼以及安全公告作者不为此承担任何责任。海王捕鱼拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经海王捕鱼允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。