脅威に関する情報: Microsoft DNSサーバーにワーム化可能な脆弱性CVE-2020-1350

Threat brief conceptual image

This post is also available in: English (英語)

概要

2020年7月、Microsoftがセキュリティ更新プログラムを公開しました。新たなリモートコード実行(RCE)の脆弱性CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability
(CVE-2020-1350 | Windows DNSサーバーにリモートでコードが実行される脆弱性)
です。

脆弱性はMicrosoft Windowsドメインネームシステム(DNS)サーバーに存在します。特定の種類のリクエスト、とくにポート53/tcpを経由するリクエストの不適切な処理に起因して発生します。整数演算のオーバーフローを引き起こすことで本脆弱性のエクスプロイトが利用可能となり、その結果リモートコード実行につながる可能性があります。

本脆弱性は、Windows DNSおよびMicrosoft Windowsオペレーティングシステム(OS)の以下のビルドにのみ影響します。

  • Windows Server 2008/2008 R2
  • Windows Server 2012/2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server version 1803/1903/1909/2004 (Server Core installation) 

回避・緩和策

通常どおり、早期にシステムに更新プログラムを適用することをお勧めします。Microsoftは更新プログラムをすぐに適用できない場合の回避策も提供しています。詳細についてはKB4569509: Guidance for DNS Server Vulnerability CVE-2020-1350 (KB4569509: DNSサーバーの脆弱性に関するガイダンス CVE-2020-1350) を確認してください。

結論

Palo Alto Networksの脅威防御およびCortex XDRは本脆弱性のエクスプロイトに対する保護を提供します。

  • Cortex XDRをお使いのお客様:
    • dns.exeを保護対象プロセスに追加するため、PTU 137-33347が必要です。PTU 137-33347はdns.exeに対するエクスプロイト対策モジュールの適用も行います。どのようなプロセスを保護対象とすることができるかについては、こちらから一覧をご確認ください。注: これはPoCの武器化を防止するものであってクラッシュを引き起こすPoCを緩和するものではありません。Cortex XDRクライアントは、更新されたコンテンツをクラウドから自動的に受信します。オンプレミス製品をお使いのお客様は、手動でダウンロードする必要があります
  • 次世代ファイアウォールをお使いのお客様:
    • 次世代ファイアウォールは、パロアルトネットワークスがクラウドベースで配信するセキュリティ サブスクリプションの脅威防御機能により、サイズが大きすぎるDNS SIGクエリをブロックすることで、本脆弱性の悪用を阻止します。関連脅威IDは58691です。

パロアルトネットワークスは、新しい情報や推奨事項が利用可能になり次第、本稿を更新します。


Secure Today,
for a Better
Tomorrow
Join us at IGNITE’20