اخیراً یک آسیبپذیری بحرانی 17 ساله اجرای کد از راه دور در سرویس نام دامنه (سرور DNS) ویندوز که با عنوان CVE-2020-1350 شناخته میشود و دارای cvss 10 از 10 است، وصله شد. این آسیبپذیری به علت مدیریت نادرست درخواستها در سرور DNS وجود دارد و این امکان را برای هکر و بدافزارها فراهم مینماید تا به راحتی بدافزار را به طور خودکار و بدون دخالت کاربر انتشار داده و در سیستمها نفوذ کنند. این آسیب پذیری به دلیل wormable بودن بسیار خطرناک است.
این آسیبپذیری که در ویندوز سرورهای ۲۰۰۳ تا ۲۰۱۹ وجود دارد، به قدری خطرناک است که میتواند دسترسی Domain Admin به تمام زیرساخت را برای مهاجم فراهم کند.
ویندوز سرورهایی که با عنوان سرور DNS پیکربندی شده و وظایف آن را در ویندوز انجام میدهند، در خطر این آسیبپذیری هستند. جهت بهرهبرداری از این آسیبپذیری مهاجم احرازهویت نشده باید درخواستهای مخربی را به سرور DNS ویندوز ارسال کند. پس از بهرهبرداری مهاجم قادر است کد دلخواه خود را در محتوای حساب local system اجرا کند.
سیستمهای تحت تأثیر این آسیبپذیری
سیستمهایی که تحت تأثیر این آسیبپذیری قرار دارند در جدول زیر نشان داده شده است:
| نام محصول | تأثیر | شدت |
| Windows Server 2008 for 32-bit Systems Service Pack 2 | اجرای کد از راه دور | بحرانی |
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) | اجرای کد از راه دور | بحرانی |
| Windows Server 2008 for x64-based Systems Service Pack 2 | اجرای کد از راه دور | بحرانی |
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) | اجرای کد از راه دور | بحرانی |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 | اجرای کد از راه دور | بحرانی |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | اجرای کد از راه دور | بحرانی |
| Windows Server 2012 | اجرای کد از راه دور | بحرانی |
| Windows Server 2012 (Server Core installation) | اجرای کد از راه دور | بحرانی |
| Windows Server 2012 R2 | اجرای کد از راه دور | بحرانی |
| Windows Server 2012 R2 (Server Core installation) | اجرای کد از راه دور | بحرانی |
| Windows Server 2016 | اجرای کد از راه دور | بحرانی |
| Windows Server 2016 (Server Core installation) | اجرای کد از راه دور | بحرانی |
| Windows Server 2019 | اجرای کد از راه دور | بحرانی |
| Windows Server 2019 (Server Core installation) | اجرای کد از راه دور | بحرانی |
| Windows Server, version 1903 (Server Core installation) | اجرای کد از راه دور | بحرانی |
| Windows Server, version 1909 (Server Core installation) | اجرای کد از راه دور | بحرانی |
| Windows Server, version 2004 (Server Core installation) | اجرای کد از راه دور | بحرانی |
روشهای کاهش و مقابله
به کلیه سازمانهایی که از سرورهای DNS استفاده میکنند (به طور مثال سازمانهایی که از Active Directory استفاده میکنند که در واقع شامل بیشتر سازمانها هستند) توصیه میشود هرچه سریعتر وصلههای امنیتی منتشر شده، روی سرورهای آسیبپذیر را اعمال کنند. به عنوان راهکار موقت میتوان تغییرات رجیستری به شرح ذیل را جهت محافظت از سرورهای تحت تأثیر – بدون نیاز به راه اندازی مجدد سرور – اعمال نمود. این تغییر در رجیستری، اندازه بستههای پاسخ DNS را محدود مینماید. اعمال این تغییر نیازمند راه اندازی مجدد سرویس DNS است.
تنظیمات مذکور به صورت زیر انجام میشود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
جهت غیر فعال کردن تنظیمات فوق، مدیر سیستم میتواند پس از اعمال وصله مقدار TcpReceivePacketSize و دادههای متناظر با آن را حذف کند؛ مقادیری که دارای کلید HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters هستند، همانند گذشته باقی میمانند.
کد اکسپلویت این آسیبپذیری که منجر به حمله Dos میشود نیز منتشر شده است:
https://github.com/maxpl0it/CVE-2020-1350-DoS/blob/master/sigred_dos.py
منابع
[1]
[2]
[3]
