CVE-2020-1350 Lỗ hổng trong Máy chủ Hệ thống Tên miền Windows (DNS)-Anh em IT quản trị hệ thống cần cập nhật ngay bản bảo mật tháng 7 năm 2020

Ngữ cảnh

Các anh em làm IT system lưu ý nhé ngày 14-07-2020 Hãng Microsoft vừa ra bản vá cập nhật cho CVE-2020-1350, nó ví là lỗ hổng thực thi mã từ xa quan trọng (Critical Remote Code Execution-RCE) trong hệ thống máy chủ phân giải tên miền (Windows DNS Server) được phân loại là lỗ hổng bảo mật có thể xâm nhập và có điểm cơ bản CVSS là 10.0. Sự cố này xuất phát từ một lỗ hổng trong việc thực hiện vai trò máy chủ DNS của Microsoft và lưu ý nhé anh em ảnh hưởng đến tất cả các phiên bản Windows Server (Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012R2, Windows Server 2016, Windows Server 2019, Windows Server Core 1903,1909,2004). Máy chủ DNS không phải của Microsoft không bị ảnh hưởng.

Triệu chứng

Lỗ hổng này có tên là Wormable một dạng virus có khả năng lây lan qua phần mềm độc hại giữa các máy tính dễ bị tổn thương mà không có sự tương tác của người dùng hay bất kỳ cảnh báo nào, âm thầm qua mạng cục bộ nhé nguy hiểm thật. Windows DNS Server là một thành phần dịch vụ cốt lõi trong hệ thống mạng Doanh nghiệp. Mặc dù lỗ hổng này hiện chưa được sử dụng trong các cuộc tấn công đang hoạt động, nhưng điều cần thiết là khách hàng áp dụng các bản cập nhật Windows để giải quyết lỗ hổng này càng sớm càng tốt. Cho nên anh em cần chú ý các bản cập nhật cho máy chủ Windows Server DNS nội bộ nhé tránh vị tấn công.

Nói nôm nay là Wormable sẽ gửi 1 lượng lớn các gói tin TCP request inbound (TcpReceivePacketSize) vào máy chủ DNS server, giá trị mặt định của TcpReceivePacketSize là 0xFFFF (65535 bytes) tràn ngậm, sập bộ đệm dịch vụ DNS, có thể bằng cơ chế truy vấn đệ huy và tương tác hoặc tấn DNS spoofing.

Giải pháp xử lý

Cập nhật Windows server mới nhất nhé danh sách cập nhật bên dưới ngày 14/07/2020

ArticleWindows Server VersionKB
4565536Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
KB4565536
4565529Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
KB4565529
4565524Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)
KB4565524
4565539Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)
KB4565539
4565537Windows Server 2012
Windows Server 2012 (Server Core)
KB4565537
4565535Windows Server 2012
Windows Server 2012 (Server Core)
KB4565535
4565541Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)
KB4565541
4565540Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)
KB4565540
4565511Windows Server 2016
Windows Server 2016 (Server Core)
KB4565511
4558998Windows Server 2019
Windows Server 2019 (Server Core)
KB4558998
4565483Windows Server, version 1903 (Server Core)
Windows Server, version 1909 (Server Core)
KB4565483
4565503Windows Server, version 2004 (Server Core)KB4565503

Nếu việc áp dụng bản cập nhật nhanh chóng là không thực tế, một cách giải quyết dựa trên đăng ký có sẵn mà không yêu cầu khởi động lại máy chủ. Nếu việc cập nhật các bản vá bảo mật có thể tự động vá lỗi không áp dụng được giải quyết lỗ hỏng trên thì các bạn thực theo các bước sau đây do Hãng Microsoft đưa ra cách xử lý nhé không phải admin nghỉ ra nhé 🙂

Chính vì lợi dụng lỗ hỏng bảo mật khi wormable gửi 1 lượng lớn gói tin TCP request inbound vào DNS server rất lớn giá trị, mặt định của TcpReceivePacketSize là 0xFF00 cho nên MS mới đưa ra cách làm can thiệp chỉnh sửa giá trị giá trị mặt định của TcpReceivePacketSize là 0xFFFF(65535 bytes) => về giá trị nhỏ hơn 0xFF00 (tứ là 65280 bytes).

Ý nghĩa đều này là máy chủ DNS của Windows sẽ không thể phân giải tên DNS cho các máy khách của nó khi phản hồi DNS từ máy chủ ngược dòng lớn hơn 65280 bytes.

Cách thực hiện như sau:

Vào lệnh Windows =>search => gõ lệnh Regedit.exe (regedt32)=> Chạy Run As administrators tìm đến đường dẫn sau:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\TcpReceivePacketSize
Chỉnh giá trị là Value = 0xFF00

Nếu chưa có thì tạo mới TcpReceivePacketSize kiểu DWORD nhé

Lưu ý quan trọng chúng ta phải backup trước khi thao tác nhé anh em chọn vào export ra lưu bản sao

Tạo mới giá trị lưu ý là chọn hex nhé: 0xFF00

Chúng ta chọn vào ok và đóng registry lại nhé. Vào DNS Server khởi động lại dịch vụ DNS mới apply nhé.

Hoặc có thể chạy lênh bên dưới cmd

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f
net stop DNS && net start DNS

Bài viết hi vọng giúp ích cho anh em làm IT hệ thống mạng trong doanh nghiệp để phòng ngừa lỗ hỏng của RCE nhé.

Good lucky.

Bài viết có tham khảo từ nguồn

Microsoft Advisory for CVE-2020-1350

https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability

bảo mật dnsCVE-2020-1350DNSWindows
Comments (38)
Add Comment
  • porno

    Some truly nice stuff on this web site, I enjoy it. Babbie Ari Daberath

  • erotik

    Wonderful post! We are linking to this great content on our website. Keep up the good writing. Emmey Abby Sommer

  • joey athas

    You made some nice points there. I looked on the internet for the subject matter and found most individuals will agree with your site.

  • gonzalo bloch

    Hello! I could have sworn I’ve been to this blog before but after browsing through some of the post I realized it’s new to me. Anyways, I’m definitely happy I found it and I’ll be book-marking and checking back frequently!

  • robin diop

    You made some nice points there. I looked on the internet for the subject matter and found most individuals will agree with your site.

  • margot balliet

    You made some nice points there. I looked on the internet for the subject matter and found most individuals will agree with your site.

  • annamaria ludovici

    You made some nice points there. I looked on the internet for the subject matter and found most individuals will agree with your site.

  • erin champine

    Hello! I could have sworn I’ve been to this blog before but after browsing through some of the post I realized it’s new to me. Anyways, I’m definitely happy I found it and I’ll be book-marking and checking back frequently!

  • erotik

    You have a bloody exciting website. I like the whole word that you provender with every article. Valerie Avram Bauske

  • porno

    It is immediately obvious to your readers that you are in this for money, and that can change everything. Edythe Pincas Fife

  • erotik film izle

    Great post. I will be experiencing a few of these issues as well.. Naoma Adler Pelpel

  • porno

    A round of applause for your article post. Really Great. Katharine Yorgos Joelie

  • josefine holness

    Hello! I could have sworn I’ve been to this blog before but after browsing through some of the post I realized it’s new to me. Anyways, I’m definitely happy I found it and I’ll be book-marking and checking back frequently!

  • erotik

    I enjoyed reading this. Good job on this article! Enjoyed your points. Interesting content. Junette Rem Grous

  • erotik izle

    What a material of un-ambiguity and preserveness of valuable familiarity about unexpected feelings. Brena Fransisco Budwig

  • deidra masaitis

    Hello! I could have sworn I’ve been to this blog before but after browsing through some of the post I realized it’s new to me. Anyways, I’m definitely happy I found it and I’ll be book-marking and checking back frequently!

  • jeanice grannis

    You made some nice points there. I looked on the internet for the subject matter and found most individuals will agree with your site.

  • elfreda barretto

    Hello! I could have sworn I’ve been to this blog before but after browsing through some of the post I realized it’s new to me. Anyways, I’m definitely happy I found it and I’ll be book-marking and checking back frequently!

  • dara philben

    You made some nice points there. I looked on the internet for the subject matter and found most individuals will agree with your site.

  • filmi İzle

    “Thanks for sharing, this is a fantastic article post.Much thanks again. Cool.” Brandie Hashim

  • risksiz casino

    Wow! This can be one particular of the most helpful blogs We’ve ever arrive across on this subject. Basically Wonderful. I’m also a specialist in this topic so I can understand your hard work. Colby Vanderwilt

  • filmi izle

    Im grateful for the blog post.Much thanks again. Want more. Camilla Sebastion

  • emelia purkett

    I loved your blog.Really looking forward to read more. Will read on…

  • aaron sambrook

    You have a quality site, I congratulate you on this

  • felton smucker

    I think it is a fluent sharing, I will recommend your site to my friends

  • reid youell

    Wow, great blog article.Really thank you! Really Great.

  • randal bonifay

    I will recommend your beautiful post site to my friends

  • jaime grimaldi

    You have a quality site, I congratulate you on this

  • quintin beckler

    I get very useful information on your page, I feel lucky

  • gerardo tobert

    You produce quality content, congratulations on this

  • porno

    I loved your blog.Really looking forward to read more. Will read on…

  • Molly

    I am thinking of visiting your website again Thanks

  • check out your url

    My partner and I stumbled over here by a different page and thought I should check things out. I like what I see so i am just following you. Look forward to looking over your web page again.

  • Echo Apostal

    High-end simulation wigs for men, let the real you face everyone.

  • Alice Yaun

    BVS – Biblioteca Virtual en Salud – Honduras.

  • Carri Sava

    BVS – Biblioteca Virtual en Salud – Honduras.