معرفی آسیب‌ پذیری  CVE-2020-1350 در DNS:

شرکت مایکروسافت در روز 14 جولای سال 2020 خبر از یک آسیب پذیری بحرانی (آسیب پذیری CVE-2020-1350 در DNS) با قدمت 17 ساله داد. این آسیب پذیری در سرویس DNS کشف شده بود و در تمامی نسخه‌های ویندوز (از 2003 تا 2019) وجود داشت. این آسیب پذیری با کد CVE-2020-1350 شناسایی می‌شود و CVSS Score آن 10 از 10 گزارش شده است. شکل زیر میزان پراکندگی استفاده از سرویس DNS را در سطح جهان نشان می‌دهد.

مکانیزم آسیب پذیری CVE-2020-1350 در DNS:

نفوذگر با استفاده از ارسال درخواست‌های مخرب به سمت DNS Server، می‌تواند حملات Remote Code Execution (RCE) را اجرا کند. با استفاده از این روش مهاجم می‌تواند بالاترین سطح دسترسی ادمین را در دامنه در دست گیرد.

روش(‌های) مقابله دستی:

1. جهت رفع آسیب پذیری CVE-2020-1350 در DNS آخرین به‌روزرسانی‌های ارائه شده را بر روی سرورهای مبتنی بر مایکروسافت ویندوز خود نصب نمایید. شما می‌توانید تنظیمات زیر را در قسمت Registry Editor ویندوز سرور اعمال نمایید. همچنین به خاطر داشته باشید که پس از اعمال این تنظیمات، سرویس DNS خود را یکبارRestart  نمایید.

Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

     DWORD = TcpReceivePacketSize

     Value = 0xFF00

2. مثل همیشه از باز کردن ایمیل‌ها و لینک‌های مشکوک خودداری کنید. همچنین تا زمانی که به قابلیت Macro در ابزارهای Microsoft Office احتیاج مبرم ندارید، آن‌را غیرفعال کنید.

مقابله با استفاده از ابزارهای امنیتی:

1. یکی از راه‌حل‌های کاهش تاثیر تهدیدهای ناشی از آسیب پذیری ها، دریافت اطلاعات زودهنگام از وجود آن‌هاست. یک نمونه از مهم‌ترین ابزار‌هایی می‌تواند به حفظ امنیت سازمان شما در این زمینه کمک کند، Nessus نام دارد. این ابزار یک قابلیت اسکنِ دور‌ه‌ای برای کاربر فراهم می‌کند و آسیب پذیری های برطرف نشده‌ی سرویس‌های سازمان را به صورت دوره‌ای بررسی و گزارش می‌نماید. به این ترتیب می‌توان در اسرع وقت در جهت رفع مشکل یا تعیین سیاست‌های امنیتی جدید برای جلوگیری از مخاطرات احتمالی گام برداشت.

در اینجا می‌توانید رابطه با Nessus بیشتر بخوایند

2. استفاده از FortiGate: ابزار FrotiGate برای مقابله با حملات ناشی از این آسیب پذیری CVE-2020-1350 در DNS، یک قانون با SID=49342 طراحی کرده است. بنابراین سازمان‌ها می‌توانند با افزودن این قانون به مجموعه قوانین FortiGate جلوی بروز حملات و حوادث احتمالی را بگیرند. در ویدئو آموزشی زیر کارشناس امنیتِ «شرکت فنی-مهندسی نوآوران افراتک هوشمند» نحوه پیکربندی FortiGate، جهت استفاده از این قانون را به شما آموزش می‌دهد.

در اینجا می‌توانید رابطه با FortiGate بیشتر بخوایند

3. استفاده از FortiClient: ابزار FortiClient برای مقابله با حملات ناشی از این آسیب پذیری یک قانون با SID=64185 طراحی کرده است. بنابراین سازمان‌ها می‌توانند با افزودن این قانون به مجموعه قوانین FortiClient جلوی بروز حملات و حوادث احتمالی را بگیرند.

4. استفاده از Sophos IPS: ابزار Sophos IPS برای مقابله با حملات ناشی از این آسیب پذیری یک قانون با SID=2303390 طراحی کرده است. بنابراین سازمان‌ها می‌توانند با افزودن این قانون به مجموعه قوانین Sophos IPS جلوی بروز حملات و حوادث احتمالی را بگیرند.

مراجع:

[1]. https://blog.rapid7.com/2020/07/14/windows-dns-server-remote-code-execution-vulnerability-cve-2020-1350-what-you-need-to-know/

[2]. https://nvd.nist.gov/vuln/detail/CVE-2020-1350

[3]. https://news.sophos.com/en-us/2020/07/14/its-always-dns-including-on-july-2020s-patch-tuesday/

[4]. https://fortiguard.com/encyclopedia/ips/49342

[5]. https://fortiguard.com/encyclopedia/endpoint-vuln/64185/microsoft-windows-dns-server-remote-code-execution-vulnerability