正在运行Windows服务器进行DNS解析的企业被敦促应用作为微软7月补丁周二推出的一部分发布的补丁。该补丁解决了一个DNS错误，这个错误已经存在了17年，但在最近被网络威胁情报提供商Check Point Research发现后，被微软确定为关键性错误。

在微软的安全咨询页面上，这个被称为“CVE-2020-1350 Windows DNS服务器远程代码执行漏洞”的漏洞指出，微软在执行DNS时可能会导致服务器无法正确处理域名解析请求。黑客可以利用这个漏洞创建并向Windows DNS服务器发送恶意的DNS查询，从而获得域名管理员权限并控制整个网络。

在其报告中，微软没有报告任何该漏洞被利用的真实情况。但是公司给了漏洞最高的安全风险得分可能(CVSS 10.0)。此外，微软和Check Point都将该漏洞标记为“可蠕虫”，这意味着它可以通过恶意软件在易受攻击的服务器之间传播，而无需与任何用户交互，除非在每台受影响的机器上都安装了补丁(或解决方案)。

像这样的可蠕虫漏洞是攻击者的非常想遇见的，未经身份验证的黑客可以向易受攻击的Windows DNS服务器发送专门制作的数据包来利用机器，允许在本地系统账户的上下文中运行任意代码。这种可蠕虫能力增加了另一层严重性和影响，允许恶意软件作者编写类似于Wannacry和NotPetya等著名可蠕虫恶意软件的勒索软件。

根据微软的建议，过去几个受影响的Windows Server版本都有补丁，包括2008、2012、2012 R2、2016和2019。不过，Server 2003也受到影响。微软不再正式支持Windows Server 2003或2008。受影响的服务器包括那些同时安装了传统GUI和Server Core的服务器。该漏洞仅限于微软的Windows DNS服务器实现，因此Windows DNS客户端不受影响。

微软建议所有组织尽快安装该补丁。如果不能迅速应用该补丁，那么敦促管理员实施以下变通方法。

在注册表中，找到以下键： HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/DNS/Parameters.

添加以下值，DWORD = TcpReceivePacketSize并将值data设置为0xFF00.

然后你需要重新启动服务器的DNS服务。

更多细节，请参考微软的 "DNS服务器漏洞CVE-2020-1350指导 "的技术支持页面：

https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability

应用实际补丁后，删除TcpReceivePacketSize及其对应的数据，这样HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/DNS/Parameters键下的其他所有内容都保持原样。

虽然目前可能还没有被感染漏洞的案例，但网络犯罪分子将急于利用这个缺陷，现在它已经被公之于众。

我们预计在下周会看到这个特殊漏洞的漏洞出现，可能会更快，而且它将被广泛利用，该漏洞只需要服务器向另一个恶意服务器发出请求，所以这将影响大多数运行微软DNS服务器的组织。简而言之，现在就给这个高风险漏洞打上补丁。

这个漏洞被利用的可能性很大。DNS服务器漏洞是一件非常严重的事情，大多数时候，它让攻击者离入侵整个组织只有一寸之遥。每一个使用微软基础设施的企业，无论大小，如果不打补丁，都会面临重大安全风险，风险将是整个企业网络的彻底入侵，毕竟这个漏洞在微软代码中已经存在了17年以上。