وجود ضعف امنیتی ناشی از آسیب پذیری بحرانی سرویس DNS (سرورهای ویندوزی). به موجب این آسیب پذیری امکان اجرای کد از راه دور (RCE) و همچنین اخذ دسترسی کامل از سرور ویندوزی ( و در صورت وجود از کل فضای (domain دارای سرویس DNS آلوده را برای مهاجم فراهم می کند. در هک ویندوز سرور از طریق DNS مهاجم می تواند با استفاده از این آسیب پذیری که بالاترین سطح ممکن خطر را دارد به اطلاعات سیستم دسترسی پیدا کند و مبادرت به رمزکردن داده‌ها و درخواست باج کند.

شرکت مایکروسافت در تاریخ July 14 سال ۲۰۲۰ وصله ای برای آسیب پذیری بحرانی در سرویس DNS ویندوز سرور منتشر کرد. این آسیب پذیری، امکان اجرای کد از راه دور (RCE) و همچنین اخذ دسترسی کامل از سرور ویندوز دارای سرویس DNS آلوده را برای مهاجم فراهم می کند. احتمال استفاده از این حفره امنیتی توسط بات نت ها و باج افزار هایی که از متد worm برای انتشار استفاده میکنند بسیار بالا می باشد. این آسیب پذیری با شدت ۱۰ از ۱۰ (CVSS Score) و با شناسه CVE-2020-1350 معرفی شده است و تمامی نسخه های ویندوز از ویندوز ۲۰۰۸ تا ۲۰۱۹ در برابر آن آسیب پذیرند.

مهاجم با استفاده از ایجاد و ارسال درخواست های آلوده به سمت DNS Server میتواند حمله RCE را به اجرا گذاشته و دسترسی کاملی به سرور اخذ کند. درصورتی که سرور نقش domain controller را در active directory داشته باشد، مهاجم می تواند دسترسی کاملی به کل فضای domain اخذ کرده و تمامی دارایی های موجود در این فضا را در اختیار گیرد.

راهکار جلوگیری از هک ویندوز سرور از طریق DNS

اجرای وصله و ایمن سازی را به هیچ وجه به تاخیر نیاندازید و این فرآیند را محدود به سرور هایی که صرفا در فضای اینترنت در دسترس هستند نکنید.

۱- نصب آخرین آپدیت های ارائه شده روی ویندوز سرور

۲- انجام تغییرات زیر در رجیستری

HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > DNSParameters

DWORD = TcpReceivePacketSize

Value = 0xFF00

۳- سپس سرویس DNS را ریستارت نمایید.

این مطلب باز نشر از سایت https://cert.ir می باشد جهت آگاه سازی بیشتر

 

لینک های مفید:

[۱] https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/

[۲] https://support.microsoft.com/help/4569509