آسیب‌پذیری SIGRed در سرویس DNS سرور ویندوز

خبر آسیب‌پذیری با شناسه CVE-2020-1350 و با نام SIGRed در سرویس DNS سیستم عامل ویندوز توسط شرکت  Check Point منتشر شد.
سرویس DNS سرویسی است که وظیفه تبدیل نام دامنه به آدرس IP را دارد و در شبکه‌های مبتنی بر محصولات Microsoft یکی از سرویس‌های حیاتی است.
آسیب‌پذیری SIGRed‌ که دارای امتیاز CVSS 10 (بالاترین امتیاز ممکن) است که در تمام نسخه‌های ویندوز سرور از 2003 تا 2019 وجود دارد. بهره‌جویی  این آسیب‌پذیری از راه دور قابل انجام است و نیاز به هیچ گونه احراز هویت ندارد. مهاجم به کمک این آسیب‌پذیری می‌تواند به دسترسی Domain Admin هم دست پیدا کند.
در این گزارش به زبان ساده خطرات این آسیب‌پذیری، نحوه بررسی آسیب‌پذیر بودن سیستم و به روزرسانی آن را شرح خواهیم داد.

آسیب‌پذیر‌ی CVE-2020-1350 چه آثار مخربی دارد؟
این آسیب‌پذیری چون به مهاجم دسترسی Domain Admin می‌دهد که دسترسی بسیار بالایی در شبکه‌های ویندوزی است و مهاجم به کمک این دسترسی عملاً می‌تواند علاوه بر سرور DNS آسیب پذیر روی تمام سیستم‌های عضو دامنه نیز دسترسی پیدا کند، بسیار مخرب است.

آیا سیستم من آسیب‌پذیر است؟
برای بررسی آسیب پذیر بودن یک سیستم، فعلا هیچ ابزار مطمئنی منتشر نشده است که به محض انتشار در نسخه جدید این گزارش منتشر خواهد شد.

نحوه مقابله
برای مقابله با این آسیب‌پذیری باید ویندوز خود را طبق یکی از روش‌های زیر به روز رسانی کنید.
   روش اول - به روزرسانی خودکار (توصیه می شود)
 سیستم خود را به اینترنت متصل کنید و در منوی استارت ویندوز update را تایپ کنید و روی windows update و در صفحه بازشده Check for updates  (شکل 1) کلیک کنید و مدت طولانی منتظر بمانید تا ویندوز شما آپدیت شود و درنهایت سیستم را Restart کنید.
 شکل 1- شروع بروزرسانی ویندوز
    روش دوم - به روزرسانی دستی
اگر به هر دلیلی امکان به روزرسانی خودکار برای شما وجود ندارد از این روش استفاده کنید.
ابتدا با نوشتن winver در run یا منو استارت ویندوز نسخه دقیق ویندوز را تعیین کنید. پس از تعیین نسخه دقیق ویندوز به صفحه توضیحات آسیب‌پذیری بروید و در بخش Security Updates متناسب با نسخه ویندوز خود آپدیت مناسب را انتخاب کنید و با کلیک روی Security Update به صفحه دانلود به روزرسانی بروید.
در صفحه دانلود بازهم متناسب با نسخه ویندوز خود روی دکمه Download کلیک کنید (شکل 2).
 شکل 2- صفحه دانلود آپدیت
در صفحه باز شده روی لینک آپدیت مورد نظر (شکل 3) کلیک کنید تا دانلود فایل آغاز شود.
 شکل 3- لینک دانلود آپدیت
پس از دانلود، فایل دریافتی که با نامی مشابه windows10.0-kbxxx-xxxxxxxxxxxxxx.msu است را اجرا کنید و روی Yes کلیک کنید تا نصب آپدیت آغاز شود. در پایان پیام شکل 4 نمایش داده می‌شود و روی Restart Now کلید کنید تا نصب تکمیل شود.

 
شکل 4- پایان نصب آپدیت
   روش سوم – غیرفعال کردن به کمک رجیستری
در صورتی که زمان کافی ندارید و یا به هردلیلی نمی‌توانید از روش‌های بالا ویندوز را آپدیت کنید به کمک تغییر در یک کلید رجیستری می‌توانید جلوی این آسیب‌پذیری را بگیرید .
به مسیر زیر در رجیستری سرور بروید:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
کلید رجیستری زیر که از نوع DWORD است را بیابید:
TcpReceivePacketSize
مقدار آن را به مقدار زیر تغییر دهید. مقدار اولیه آن (0xFFFF) است .
0xFF00
سرویس DNS را Restart کنید.
با اجرای دستورات زیر در CMD که به صورت Run as admin اجرا شده باشد هم می‌توان کارهای فوق را انجام داد.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f
net stop DNS && net start DNS

  بررسی نصب بودن به روزرسانی
با روش‌های زیر از نصب به روزرسانی اطمینان حاصل کنید.
    روش اول
فایل نصب آپدیت را دوباره اجرا کنید اگر نصب باشد به شما پیام شکل 5 نمایش داده می‌شود 😊.
 شکل 5- پیام نصب بودن آپدیت
    روش دوم
برای بررسی نصب بودن به روزرسانی روی یک سیستم update history را در منو استارت ویندوز تایپ کنید و در برگه View update history به دنبال نام آن مثلاً KB4558998 بگردید (شکل 6). توجه داشته باشید که بسته به نسخه ویندوز ممکن است نام به‌روزرسانی متفاوت باشد. مثلاً برای ویندوز 2004 نام به روزرسانی KB4565503 است این نام را در ابتدای نام فایل به روزرسانی دانلود شده می توانید ببینید در جدول 1 نام آپدیت‌ها بر اساس نسخه ویندوز آورده شده است.
 شکل 6- بررسی نصب آپدیت


Article
Products
KB
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)
Windows Server 2012
Windows Server 2012 (Server Core)
Windows Server 2012
Windows Server 2012 (Server Core)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)
Windows Server 2016
Windows Server 2016 (Server Core)
Windows Server 2019
Windows Server 2019 (Server Core)
Windows Server, version 1903 (Server Core)
Windows Server, version 1909 (Server Core)
Windows Server, version 2004 (Server Core)



جدول 1- جدول نام آپدیت‌ها بر اساس نسخه ویندوز




    روش سوم
در منوی استارت appwiz.cpl را تایپ کنید و آن را اجرا نمایید در سمت چپ روی View installed updates کلیک کنید در این صفحه دنبال آپدیت بگردید، از قسمت جستجوی بالا هم می‌توانید کمک بگیرید (شکل 7).
 شکل 7-بررسی نصب آپدیت روش دوم
    روش چهارم (حرفه‌ای)
در powershell  دستور Get-HotFix –Id با نام مناسب KB ( طبق جدول 1) را وارد کنید اگر آپدیت نصب شده باشد خروجی باید به شکل 8 باشد وگرنه پیام خطا نمایش داده می‌شود.
 شکل 8- بررسی نصب با PowerShell

سوالات متداول
آیا این آسیب‌پذیری روی کلاینت‌ها هم تاثیری دارد؟
خیر، این آسیب‌پذیری فقط مربوط به سروری است که روی آن سرویس DNS در حال اجراست.

نسخه الکترونیکی گزارش فوق :
-cve-2020-1350.pdf [1.23 Mb] ( تعداد دانلود: 6)