‼️ هشدار مهم به کلیه مدیران شبکه گرامی : کشف یک آسیب پذیری بحرانی 17 ساله در سرویس Windows DNS Server با درجه وخامت 10 !!!

▪️ ساعتی پیش مایکروسافت در اطلاعیه ای مهم خبر از کشف آسیب پذیری بحرانی CVE-2020-1350 با درجه وخامت 10/10 منتشر کرد:

https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/

▪️ این آسیب پذیری باعث می شود که فرد مهاجم بدون هیچگونه دسترسی بتواند با ارسال یک Query مخرب به DNS Server ،کد دلخواه خود را به اجرا در آورده و دسترسی Domain Admin را از راه دور برای خود ایجاد کرده و کنترل کامل زیرساخت یک شبکه را برعهده بگیرد! لازم است مدیران شبکه محترم در اسرع وقت نسبت به نصب Patch مربوط به این آسیب پذیری اقدام نمایند.

▪️ این آسیب پذیری به مدت 17 سال وجود داشته و  توسط محققان Check Point کشف شده است. تمامی Windowsهای Server این آسیب پذیری را دارند.


 Patchها را از این آدرس دانلود کنید :

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350


لینک های مستقیم دانلود برای ویندوز های پراستفاده:

Server 2008 R2 ServicePack 2 X64

http://download.windowsupdate.com/c/msdownload/update/software/secu/2020/07/windows6.0-kb4565529-x64_7c371abf97b50b4325f14a4ab0c425556099bce7.msu

Server 2008 R2 ServicePack 1 X64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2020/07/windows6.1-kb4565539-x64_4e2fdadb09e5308ff884532e3c19315cfb8781f7.msu

Server 2012 R2

http://download.windowsupdate.com/d/msdownload/update/software/secu/2020/07/windows8.1-kb4565540-x64_1eba7b590679d38a1a27e44d93bebc710ebfbc42.msu

Server 2016

http://download.windowsupdate.com/c/msdownload/update/software/secu/2020/07/windows10.0-kb4565511-x64_5d2481cbc9319147ad3c8f42e07a0ee182909be9.msu

Server 2019

http://download.windowsupdate.com/c/msdownload/update/software/secu/2020/07/windows10.0-kb4558998-x64_6da68fe659dacb747458ab3a431c3546ce7765b5.msu

پیش نیاز ها : 

‼️ تذکر 1 : در صورت مشاهده خطای 0x800b0109 در ویندوز 2008R2 که مربوط به مشکل قدیمی بودن امضاها و گواهینامه های این ویندوز است ، آپدیت پیش نیاز زیر ابتدا نصب شود و پس از Restart پچ اصلی نصب گردد:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/03/windows6.1-kb4474419-x64_6acf139f1eb84f60fcdeef3d4f81285e1edb45f9.msu

‼️ تذکر 2 : طبق اعلام مایکروسافت ( بخش Prerequisite یا پیش نیازها ) برخی از ویندوزها همانند 2008R2 سرویس پک 1 برای نصب این پچ نیاز به 5 آپدیت پیش نیاز به شماره های KB4490628 - KB4474419 - KB4562030 - KB4538483 - KB4565354 دارند و بعد از Restart امکان نصب پچ جدید را خواهند داشت. اما طبق گزارش های واصله به پشتیبانی کامیران به نظر میرسد در برخی ویندوز های 2008R2 پچ ها به درستی نصب نمیشوند. با توجه به از رده خارج شدن ویندوز های 2008R2 و 7 اکیدا توصیه میکنیم از این سرورها به عنوان سرور آنلاین استفاده نکرده و در اولین فرصت نسبت به ارتقای سرور به ویندوز 2019 اقدام نمائید.

دقت نمائید که هر نوع ویندوز پیش نیاز های متفاوتی دارد که در راهنمای هر پچ در سایت Microsoft درج شده است. شما به راحتی با سرچ کد معرفی شده که با KB شروع میشود در مرکز دانلود Microsoft میتوانید پچ مربوطه را دانلود و نصب نمائید. پچ ها باید به ترتیب نصب شده و برخی از آنها الزاما برای اعمال نیاز به Restart دارد.

رفع این آسیب پذیری از طریق رجیستری :


* اگر به هر دلیلی موفق به نصب پچ های مربوط نشدید طبق توصیه مایکروسافت از ترفند رجیستری زیر برای غیر فعال کردن این آسیب پذیری استفاده کنید :

برای این کار در مسیر زیر کلیدی از نوع Dword 32Bit با نام TcpReceivePacketSize ساخته و مقدار 0xFF00 را به آن اختصاص دهید. سپس سرویس DNS Server را Restart نمائید.

HKEY_LOCAL_MACHINE->SYSTEM->CurrentControlSet->Services->DNS->Parameters

https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability


چرا این آسیب پذیری با درجه بحرانی 10 اعلام شده است ؟

▪️ این آسیب پذیری این قابلیت را دارد که مهاجمان با ساختن یک Worm تعداد بسیار زیادی سازمان را مورد هدف قرار داده و به شبکه آنها نفوذ کنند. فرد مهاجم با نفوذ به یک سیستم می تواند مجددا از این آسیب پذیری استفاده کرده و به سیستم های پشت آن نفوذ کند. لذا سیستم هایی هم که مستقیما به اینترنت وصل نیستند می توانند مورد حمله گسترده قرار بگیرند.

▪️ این Worm می تواند به گونه ای طراحی شود که ظرف چند دقیقه به یک کامپیوتر نفوذ کند و از آنجا به هزاران کامپیوتر دیگر نفوذ کرده و به همین ترتیب در مدت کوتاهی میلیون ها کامپیوتر را در سراسر دنیا تحت تاثیر خود قرار دهد. ( همانند آسیب پذیری WannaCry )

‼️ مایکروسافت اکیدا توصیه کرده که Patch مربوط به این آسیب پذیری فورا نصب شود. حتی اگر DNS Server شما به اینترنت وصل نباشد فرد مهاجم می تواند با ارسال یک Email به یکی از کاربران سازمان که حاوی یک لینک با DNS Query مخرب است باعث شود که DNS Server سازمان Crash کند.

‼️ سرور های DNS آنلاین، پورت باز 53 پروتکل TCP یا UDP روی اینترنت دارند. اگر نیازی به آنلاین بودن DNS سرور خود ندارید پورت 53 سرور های DNS خود را برای امنیت بیشتر روی اینترنت ببندید تا DNS سرور شما فقط به آی پی های محلی شما سرویس دهند یا فقط به IP های داخل کشور محدود کنید.

 
‼️ شواهدی در دست است که Exploit این آسیب پذیری در حال خرید و فروش در Dark Web است.

▪️ تحلیل فنی این آسیب پذیری مهلک را در اینجا مطالعه کنید.


‼️ طرق همیشگی تماس با پشتیبانی:
تلگرام: @KamiranSupport ، واتساپ 09332050007 ، مرکز تماس 02147251  ، سامانه www.47251.ir

برای دریافت سریع اخبار امنیتی در مورد ویروس ها و حملات جدید در کانال تلگرام مدیران شبکه شرکت کامیران عضو شوید :

کانال مدیران فناوری اطلاعات شرکت کامیران:
KAMIRANChannel@