Ngữ cảnh
Các anh em làm IT system lưu ý nhé ngày 14-07-2020 Hãng Microsoft vừa ra bản vá cập nhật cho CVE-2020-1350, nó ví là lỗ hổng thực thi mã từ xa quan trọng (Critical Remote Code Execution-RCE) trong hệ thống máy chủ phân giải tên miền (Windows DNS Server) được phân loại là lỗ hổng bảo mật có thể xâm nhập và có điểm cơ bản CVSS là 10.0. Sự cố này xuất phát từ một lỗ hổng trong việc thực hiện vai trò máy chủ DNS của Microsoft và lưu ý nhé anh em ảnh hưởng đến tất cả các phiên bản Windows Server (Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012R2, Windows Server 2016, Windows Server 2019, Windows Server Core 1903,1909,2004). Máy chủ DNS không phải của Microsoft không bị ảnh hưởng.
Triệu chứng
Lỗ hổng này có tên là Wormable một dạng virus có khả năng lây lan qua phần mềm độc hại giữa các máy tính dễ bị tổn thương mà không có sự tương tác của người dùng hay bất kỳ cảnh báo nào, âm thầm qua mạng cục bộ nhé nguy hiểm thật. Windows DNS Server là một thành phần dịch vụ cốt lõi trong hệ thống mạng Doanh nghiệp. Mặc dù lỗ hổng này hiện chưa được sử dụng trong các cuộc tấn công đang hoạt động, nhưng điều cần thiết là khách hàng áp dụng các bản cập nhật Windows để giải quyết lỗ hổng này càng sớm càng tốt. Cho nên anh em cần chú ý các bản cập nhật cho máy chủ Windows Server DNS nội bộ nhé tránh vị tấn công.
Nói nôm nay là Wormable sẽ gửi 1 lượng lớn các gói tin TCP request inbound (TcpReceivePacketSize) vào máy chủ DNS server, giá trị mặt định của TcpReceivePacketSize là 0xFFFF (65535 bytes) tràn ngậm, sập bộ đệm dịch vụ DNS, có thể bằng cơ chế truy vấn đệ huy và tương tác hoặc tấn DNS spoofing.
Giải pháp xử lý
Cập nhật Windows server mới nhất nhé danh sách cập nhật bên dưới ngày 14/07/2020
Article | Windows Server Version | KB |
4565536 | Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core) | KB4565536 |
4565529 | Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core) | KB4565529 |
4565524 | Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core) | KB4565524 |
4565539 | Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core) | KB4565539 |
4565537 | Windows Server 2012 Windows Server 2012 (Server Core) | KB4565537 |
4565535 | Windows Server 2012 Windows Server 2012 (Server Core) | KB4565535 |
4565541 | Windows Server 2012 R2 Windows Server 2012 R2 (Server Core) | KB4565541 |
4565540 | Windows Server 2012 R2 Windows Server 2012 R2 (Server Core) | KB4565540 |
4565511 | Windows Server 2016 Windows Server 2016 (Server Core) | KB4565511 |
4558998 | Windows Server 2019 Windows Server 2019 (Server Core) | KB4558998 |
4565483 | Windows Server, version 1903 (Server Core) Windows Server, version 1909 (Server Core) | KB4565483 |
4565503 | Windows Server, version 2004 (Server Core) | KB4565503 |
Nếu việc áp dụng bản cập nhật nhanh chóng là không thực tế, một cách giải quyết dựa trên đăng ký có sẵn mà không yêu cầu khởi động lại máy chủ. Nếu việc cập nhật các bản vá bảo mật có thể tự động vá lỗi không áp dụng được giải quyết lỗ hỏng trên thì các bạn thực theo các bước sau đây do Hãng Microsoft đưa ra cách xử lý nhé không phải admin nghỉ ra nhé 🙂
Chính vì lợi dụng lỗ hỏng bảo mật khi wormable gửi 1 lượng lớn gói tin TCP request inbound vào DNS server rất lớn giá trị, mặt định của TcpReceivePacketSize là 0xFF00 cho nên MS mới đưa ra cách làm can thiệp chỉnh sửa giá trị giá trị mặt định của TcpReceivePacketSize là 0xFFFF(65535 bytes) => về giá trị nhỏ hơn 0xFF00 (tứ là 65280 bytes).
Ý nghĩa đều này là máy chủ DNS của Windows sẽ không thể phân giải tên DNS cho các máy khách của nó khi phản hồi DNS từ máy chủ ngược dòng lớn hơn 65280 bytes.
Cách thực hiện như sau:
Vào lệnh Windows =>search => gõ lệnh Regedit.exe (regedt32)=> Chạy Run As administrators tìm đến đường dẫn sau:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\TcpReceivePacketSize
Chỉnh giá trị là Value = 0xFF00
Nếu chưa có thì tạo mới TcpReceivePacketSize kiểu DWORD nhé
Lưu ý quan trọng chúng ta phải backup trước khi thao tác nhé anh em chọn vào export ra lưu bản sao
Tạo mới giá trị lưu ý là chọn hex nhé: 0xFF00
Chúng ta chọn vào ok và đóng registry lại nhé. Vào DNS Server khởi động lại dịch vụ DNS mới apply nhé.
Hoặc có thể chạy lênh bên dưới cmd
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f
net stop DNS && net start DNS
Bài viết hi vọng giúp ích cho anh em làm IT hệ thống mạng trong doanh nghiệp để phòng ngừa lỗ hỏng của RCE nhé.
Good lucky.
Bài viết có tham khảo từ nguồn
Microsoft Advisory for CVE-2020-1350
Some truly nice stuff on this web site, I enjoy it. Babbie Ari Daberath
Wonderful post! We are linking to this great content on our website. Keep up the good writing. Emmey Abby Sommer
You made some nice points there. I looked on the internet for the subject matter and found most individuals will agree with your site.
Hello! I could have sworn I’ve been to this blog before but after browsing through some of the post I realized it’s new to me. Anyways, I’m definitely happy I found it and I’ll be book-marking and checking back frequently!
You made some nice points there. I looked on the internet for the subject matter and found most individuals will agree with your site.
You made some nice points there. I looked on the internet for the subject matter and found most individuals will agree with your site.
You made some nice points there. I looked on the internet for the subject matter and found most individuals will agree with your site.
Hello! I could have sworn I’ve been to this blog before but after browsing through some of the post I realized it’s new to me. Anyways, I’m definitely happy I found it and I’ll be book-marking and checking back frequently!
You have a bloody exciting website. I like the whole word that you provender with every article. Valerie Avram Bauske
It is immediately obvious to your readers that you are in this for money, and that can change everything. Edythe Pincas Fife
Great post. I will be experiencing a few of these issues as well.. Naoma Adler Pelpel
A round of applause for your article post. Really Great. Katharine Yorgos Joelie
Hello! I could have sworn I’ve been to this blog before but after browsing through some of the post I realized it’s new to me. Anyways, I’m definitely happy I found it and I’ll be book-marking and checking back frequently!
I enjoyed reading this. Good job on this article! Enjoyed your points. Interesting content. Junette Rem Grous
What a material of un-ambiguity and preserveness of valuable familiarity about unexpected feelings. Brena Fransisco Budwig
Hello! I could have sworn I’ve been to this blog before but after browsing through some of the post I realized it’s new to me. Anyways, I’m definitely happy I found it and I’ll be book-marking and checking back frequently!
You made some nice points there. I looked on the internet for the subject matter and found most individuals will agree with your site.
Hello! I could have sworn I’ve been to this blog before but after browsing through some of the post I realized it’s new to me. Anyways, I’m definitely happy I found it and I’ll be book-marking and checking back frequently!
You made some nice points there. I looked on the internet for the subject matter and found most individuals will agree with your site.
“Thanks for sharing, this is a fantastic article post.Much thanks again. Cool.” Brandie Hashim
Wow! This can be one particular of the most helpful blogs We’ve ever arrive across on this subject. Basically Wonderful. I’m also a specialist in this topic so I can understand your hard work. Colby Vanderwilt
Really enjoyed this article post. Brock Barff
Im grateful for the blog post.Much thanks again. Want more. Camilla Sebastion
I loved your blog.Really looking forward to read more. Will read on…
You have a quality site, I congratulate you on this
I think it is a fluent sharing, I will recommend your site to my friends
Wow, great blog article.Really thank you! Really Great.
I will recommend your beautiful post site to my friends
You have a quality site, I congratulate you on this
I get very useful information on your page, I feel lucky
You produce quality content, congratulations on this
I loved your blog.Really looking forward to read more. Will read on…
I am thinking of visiting your website again Thanks
My partner and I stumbled over here by a different page and thought I should check things out. I like what I see so i am just following you. Look forward to looking over your web page again.
derma prime plus reviews
Thank you for the auspicious writeup. It
in fact was a amusement account it. Look advanced to far
added agreeable from you! By the way, how can we communicate?https://linktr.ee/DermaPrimePlusReviews
High-end simulation wigs for men, let the real you face everyone.
BVS – Biblioteca Virtual en Salud – Honduras.
BVS – Biblioteca Virtual en Salud – Honduras.