CVE-2020-1350 Lỗ hổng trong Máy chủ Hệ thống Tên miền Windows (DNS)-Anh em IT quản trị hệ thống cần cập nhật ngay bản bảo mật tháng 7 năm 2020:

0
216
Cve 2020 1350 Lo Hong Trong May Chu He Thong Ten Mien Windows Dns Anh Em It Quan Tri He Thong Can Cap Nhat Ngay Ban Bao Mat Thang 7 Nam 2020 4109 8 1

Ngữ cảnh

Các anh em làm IT system lưu ý nhé ngày 14-07-2020 Hãng Microsoft vừa ra bản vá cập nhật cho CVE-2020-1350, nó ví là lỗ hổng thực thi mã từ xa quan trọng (Critical Remote Code Execution-RCE) trong hệ thống máy chủ phân giải tên miền (Windows DNS Server) được phân loại là lỗ hổng bảo mật có thể xâm nhập và có điểm cơ bản CVSS là 10.0. Sự cố này xuất phát từ một lỗ hổng trong việc thực hiện vai trò máy chủ DNS của Microsoft và lưu ý nhé anh em ảnh hưởng đến tất cả các phiên bản Windows Server (Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012R2, Windows Server 2016, Windows Server 2019, Windows Server Core 1903,1909,2004). Máy chủ DNS không phải của Microsoft không bị ảnh hưởng.

Triệu chứng

Lỗ hổng này có tên là Wormable một dạng virus có khả năng lây lan qua phần mềm độc hại giữa các máy tính dễ bị tổn thương mà không có sự tương tác của người dùng hay bất kỳ cảnh báo nào, âm thầm qua mạng cục bộ nhé nguy hiểm thật. Windows DNS Server là một thành phần dịch vụ cốt lõi trong hệ thống mạng Doanh nghiệp. Mặc dù lỗ hổng này hiện chưa được sử dụng trong các cuộc tấn công đang hoạt động, nhưng điều cần thiết là khách hàng áp dụng các bản cập nhật Windows để giải quyết lỗ hổng này càng sớm càng tốt. Cho nên anh em cần chú ý các bản cập nhật cho máy chủ Windows Server DNS nội bộ nhé tránh vị tấn công.

Nói nôm nay là Wormable sẽ gửi 1 lượng lớn các gói tin TCP request inbound (TcpReceivePacketSize) vào máy chủ DNS server, giá trị mặt định của TcpReceivePacketSize là 0xFFFF (65535 bytes) tràn ngậm, sập bộ đệm dịch vụ DNS, có thể bằng cơ chế truy vấn đệ huy và tương tác hoặc tấn DNS spoofing.

Giải pháp xử lý

Cập nhật Windows server mới nhất nhé danh sách cập nhật bên dưới ngày 14/07/2020

ArticleWindows Server VersionKB
4565536Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
KB4565536
4565529Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
KB4565529
4565524Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)
KB4565524
4565539Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)
KB4565539
4565537Windows Server 2012
Windows Server 2012 (Server Core)
KB4565537
4565535Windows Server 2012
Windows Server 2012 (Server Core)
KB4565535
4565541Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)
KB4565541
4565540Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)
KB4565540
4565511Windows Server 2016
Windows Server 2016 (Server Core)
KB4565511
4558998Windows Server 2019
Windows Server 2019 (Server Core)
KB4558998
4565483Windows Server, version 1903 (Server Core)
Windows Server, version 1909 (Server Core)
KB4565483
4565503Windows Server, version 2004 (Server Core)KB4565503

Nếu việc áp dụng bản cập nhật nhanh chóng là không thực tế, một cách giải quyết dựa trên đăng ký có sẵn mà không yêu cầu khởi động lại máy chủ. Nếu việc cập nhật các bản vá bảo mật có thể tự động vá lỗi không áp dụng được giải quyết lỗ hỏng trên thì các bạn thực theo các bước sau đây do Hãng Microsoft đưa ra cách xử lý nhé không phải admin nghỉ ra nhé 🙂

Chính vì lợi dụng lỗ hỏng bảo mật khi wormable gửi 1 lượng lớn gói tin TCP request inbound vào DNS server rất lớn giá trị, mặt định của TcpReceivePacketSize là 0xFF00 cho nên MS mới đưa ra cách làm can thiệp chỉnh sửa giá trị giá trị mặt định của TcpReceivePacketSize là 0xFFFF(65535 bytes) => về giá trị nhỏ hơn 0xFF00 (tứ là 65280 bytes).

Ý nghĩa đều này là máy chủ DNS của Windows sẽ không thể phân giải tên DNS cho các máy khách của nó khi phản hồi DNS từ máy chủ ngược dòng lớn hơn 65280 bytes.

Cách thực hiện như sau:

Vào lệnh Windows =>search => gõ lệnh Regedit.exe (regedt32)=> Chạy Run As administrators tìm đến đường dẫn sau:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\TcpReceivePacketSize
Chỉnh giá trị là Value = 0xFF00

Nếu chưa có thì tạo mới TcpReceivePacketSize kiểu DWORD nhé

Lưu ý quan trọng chúng ta phải backup trước khi thao tác nhé anh em chọn vào export ra lưu bản sao

Tạo mới giá trị lưu ý là chọn hex nhé: 0xFF00

Chúng ta chọn vào ok và đóng registry lại nhé. Vào DNS Server khởi động lại dịch vụ DNS mới apply nhé.

Hoặc có thể chạy lênh bên dưới cmd

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f
net stop DNS && net start DNS

Bài viết hi vọng giúp ích cho anh em làm IT hệ thống mạng trong doanh nghiệp để phòng ngừa lỗ hỏng của RCE nhé.

Good lucky.

Bài viết có tham khảo từ nguồn

Microsoft Advisory for CVE-2020-1350

https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability

Bài trướcQuyền NTFS và Quyền chia sẻ mọi thứ bạn dành cho Sysadmin cần biết trước khi làm về File server
Phuong Nguyen
Xin chào, Nguyễn Văn Phương là chủ sở hữu trang web viettechgroup.vn. Tôi đã làm việc trong lĩnh vực CNTT từ năm 2008. Với gần 12 năm kinh nghiệm trong các lĩnh vực phát triển thiết kế, Quản trị, cơ sở hạ tầng mạng doanh nghiệp hệ điều hành .. Tôi hiện là Quản trị viên Cơ sở hạ tầng cao cấp cho mạng Doanh nghiệp. Thành tích: Quản lý dự án CNTT Hệ thống và mạng quản lý CNTT Bảo mật CNTT và bảo vệ dữ liệu. Lập kế hoạch và sửa lỗi cho Cơ sở hạ tầng và An ninh Máy chủ hệ thống triển khai (HP, IBM, Lenovo, Dell ..), Mạng (Cisco, Juniper, Enterasys, ..), hệ thống PABX, Tường lửa (Cisco ASA 5525-x, Juniper SSG520, ..) Quản trị và bảo trì hệ thống mạng: + Quản lý tất cả các cấu hình mạng hệ thống CNTT: AD, DNS, DHCP, chuyển đổi lõi, chuyển đổi truy cập, Bộ định tuyến, Tường lửa, v.v. Thiết kế và triển khai hệ thống CNTT, quản lý dự án và quản lý vận hành CNTT, tôi cũng có nhiều kinh nghiệm về hệ thống ERP SQL, HRM, v.v. Quản lý nhà cung cấp / tích hợp hệ thống bên ngoài: hỗ trợ bộ phận khác về thông số kỹ thuật để tối ưu hóa chi phí, hiệu quả quy trình kinh doanh, tuân thủ chi tiêu mua sắm. Triển khai hệ thống ảo hóa trên Microsoft Windows Server 2016 (Hyper-V) và VMware (Vmware vSphere 5.5, 6.5.6.7U1, U2, U3, 7.0 vCenter) Quản lý sao lưu và khôi phục trên các sản phẩm sao lưu Symantec (Sao lưu Veritas 16, 20, 20.1, 20.2, 20.3,..20.6), Sao lưu & sao lưu Veeam 9.0, 9.5U1, 9.5U2 U3, U4, 10