各位業界先進與客戶, 微軟稍早已公佈了存在於Windows Server DNS服務中長達17年的重大RCE(Remote Code Execution)安全漏洞並釋出更新,影響範圍包括Windows Server自2003到2019版本。 此漏洞由Check Point Research團隊所揭露並通報微軟進行修補,命名為SIGRed (CVE-2020-1350),屬於CVSS 3.0評分中最高的10分: ”Critical” 等級漏洞。 若攻擊者成功利用此漏洞,可進一步於目標主機上以管理員權限執行任意程式碼,同時這個漏洞為自主增生式(Wormable)的感染,可透由惡意軟體在可被攻擊的伺服器之間散佈。 由於DNS伺服器通常也會兼具企業網域控制器(Domain Controller)功能,如果遭受攻擊將對企業資安產生重大危害,強烈建議您應立即進行更新修補或啟用相關防護措施。 詳情請參考: Check Point Research Blog 微軟KB4569509 未能完成更新前的緩解方案: 1. 參照微軟KB中透過修改Registry來限制DNS response TCP封包大小,需重啟DNS服務讓此異動生效。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters TcpReceivePacketSize Value = 0xFF00 The Default (also max) Value = 0xFFFF The Recommended Value = 0xFF00 (255 bytes less than the max) 2. 於Check Point防火牆或安全閘道上啟用IPS防護,並開啟相關特徵碼; 或安裝Check Point端點防護程式(SBA, E83.11)預防可能的攻擊行為以及提前部署進階安全防護。 IPS Package: No. 634204672 & 635204672 Check Point Advisory Reference 防護名稱: Windows DNS Server Remote Code Execution 如果您目前尚未訂閱IPS或Threat Prevention相關防護功能,或有端點/主機安全防護需求, 請聯繫臺灣Check Point團隊或者服務貴單位的經銷商,我們會立即協助您申請免費30天試用方案! Check Point臺灣辦公室電話: (02) 2719-9030 聯絡人: 鄭小姐effie.cheng@checkpointna.onmicrosoft.com / marketing.na@checkpoint.com
聯絡我們