登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202112/1519567_30003_0.htm

Windows DNS Server多个高危漏洞安全通告

【发布时间:2021-12-30】

威胁预警团队

2021/03/10

1. 漏洞综述

1.1 漏洞背景

Windows DNS Server是微软官方提供域名解析服务器组件,能够为用户提供计算机名称到 IP 地址的域名解析服务。新华三攻防实验室监测到微软官方发布了七个Windows DNS Server漏洞的更新补丁,其中五个是远程代码执行漏洞,其余两个为拒绝服务漏洞。

远程代码执行漏洞:

CVE-2021-26877,CVE-2021-26897(极有可能被利用)

CVE-2021-26893,CVE-2021-26894,CVE-2021-26895(可能被利用)

拒绝服务漏洞

CVE-2021-26896,CVE-2021-27063(不太可能被利用)

1.2 漏洞详情

DNS动态更新

DNS动态区域更新功能使客户端可以在主DNS服务器上更新其资源记录(RR),例如在更改IP地址时,这些客户端通常是证书颁发机构(CA)和DHCP服务器。动态区域更新功能可以部署在独立的DNS服务器或是在Active Directory(AD)上集成DNS服务器。

在DNS服务器上创建区域时,可以选择启用或禁用DNS动态区域更新。将DNS部署为独立服务器时,默认情况下将禁用“动态区域更新”功能,但可以在安全/非安全模式下启用该功能。将DNS部署在AD上集成时,默认情况在安全模式下启用“动态区域更新”功能。

安全模式下,动态区域更新需要对加入域的计算机进行验证后才可进行RR更新。此外,可以对哪些主体可以执行动态区域更新进行更精细的控制。

非安全模式下的,任何计算机无需任何身份验证即可更新RR(不建议)。

漏洞利用条件

AD上集成DNS服务器(安全更新的默认配置)

1. 机器加入域。

2. DNS服务器必须接受对至少一个区域的写入请求(通常,主DNS服务器仅允许区域RR写入,但是存在配置错误,并且辅助服务器可以对此无效)。

3. 攻击者利用DNS动态区域更新向DNS服务器的目标区域发送恶意请求,则可触发漏洞。

独立DNS服务器(安全/非安全配置)

1. DNS服务器必须接受对至少一个区域的写入请求(通常,主DNS服务器仅允许区域RR写入,但是存在配置错误,并且辅助服务器可以对此无效) 。

2. 攻击者利用DNS动态区域更新向DNS服务器的目标区域发送恶意请求,则可触发漏洞。

2. 影响范围

Windows Server 2012 R2

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server, version 2004 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2 (Server Core installation)

Windows Server, version 20H2 (Server Core Installation)

3. 处置方法

3.1 解决方案

官方补丁

目前,微软官方已经发布针对此漏洞的补丁程序,建议用户通过以下链接尽快安装补丁程序:

https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar

临时解决方案:

启用安全动态更新可缓解利用此类漏洞对DNS 服务器的攻击,但攻击者仍然可以通过加入域的计算机攻击启用安全动态更新的DNS 服务器。建议受影响的用户尽快安装安全补丁以修复这些漏洞。

3.2 H3C解决方案

1、新华三安全设备防护方案

新华三IPS规则库已在1.0.121版本支持对CVE-2021-26877漏洞的识别,其余漏洞将会持续进行跟踪,新华三全系安全产品可通过升级IPS特征库识别利用该漏洞的攻击流量,并进行主动拦截。

2、新华三态势感知解决方案

新华三态势感知已支持对CVE-2021-26877漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。

3、新华三云安全能力中心解决方案

新华三云安全能力中心知识库已更新漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。

新华三官网
联系我们