الثغرات الأمنية
أبلغت Microsoft عن ثغرة أمنية وهي CVE-2020-1350 في خادم Windows DNS. أخبار سيئة: سجلت الثغرة 10 درجات على مقياس نظام تسجيل الثغرات الأمنية (CVSS)، مما يعني أنها حرجة. أخبار جيدة: يمكن لمجرمي الإنترنت استغلالها فقط إذا كان النظام يعمل في وضع خادم DNS، وبعبارة أخرى، فإن عدد أجهزة الكمبيوتر التي من يحتمل وجود ثغرة أمنية بها قليل نسبيًا. وبالإضافة إلى ذلك، قامت الشركة بالفعل بإصدار تصحيحات وحلاً بديلاً.
ما الثغرة الأمنية، ولماذا هي خطرة؟
تتيح ثغرة CVE-2020-1350 للمجرم الإلكتروني إجبار خوادم DNS التي تقوم بتشغيل Windows Server على تنفيذ التعليمات البرمجية الضارة عن بُعد. وبعبارة أخرى، تنتمي الثغرة الأمنية إلى فئة ثغرات تنفيذ الأوامر عن بعد (RCE). لاستغلال ثغرة CVE-2020-1350، يجب على الشخص فقط إرسال طلب تم إنشاؤه خصيصًا إلى خادم DNS.
يتم بعد ذلك تنفيذ التعليمة البرمجية للطرف الخارجي في سياق حساب LocalSystem. ويتمتع هذا الحساب بامتيازات واسعة على الكمبيوتر المحلي، ويعمل كجهاز كمبيوتر على الشبكة. بالإضافة إلى أن النظام الفرعي للأمان لا يتعرف على حساب LocalSystem. ووفقًا لـ Microsoft، فإن الخطر الرئيسي للثغرة يكمن في إمكانية استخدامها لنشر تهديد عبر الشبكة المحلية، أي أنها مصنفة على أنها قابلة للاختراق.
من يوجد ضمن منطقة خطر CVE-2020-1350؟
جميع إصدارات Windows Server عرضة للاختراق، ولكن فقط في حالة تشغيلها في وضع خادم DNS. إذا لم يكن لشركتك خادم DNS، أو تستخدم خادم DNS على نظام تشغيل مختلف، فلا داعي للقلق.
لحسن الحظ، تم اكتشاف الثغرة الأمنية بواسطة Check Point Research، وحتى الآن لا توجد معلومات عامة حول كيفية استغلالها. بالإضافة إلى ذلك، لا يوجد حاليًا أي دليل على استغلال CVE-2020-1350 من قبل مهاجمين.
ومع ذلك، فمن المحتمل جدًا أنه بمجرد أن أوصت Microsoft بتحديث النظام، بدأ مجرمو الإنترنت في البحث عن خوادم DNS التي بها ثغرات، وتفحص التصحيحات التي تم إصدارها للعمل على طريقة يمكن من خلالها كيفية الثغرة الأمنية. لذا يجب على الجميع تثبيت التصحيح على الفور.
ما يجب فعله
وكما ذُكر أعلاه، فإن أفضل إجراء هو تثبيت تصحيح Microsoft، الذي يعدل طريقة معالجة الطلبات من قبل خوادم DNS. يتوفر التصحيح لأنظمة التشغيل Windows Server 2008 وWindows Server 2012 وWindows Server 2016 وWindows Server 2019 وWindows Server إصدار 1903 وWindows Server إصدار 1909 وWindows Server إصدار 2004. يمكنك تنزيله من صفحة Microsoft المخصصة لهذه الثغرة الأمنية.
ومع ذلك، لدى بعض الشركات الكبيرة قواعد داخلية وروتين ثابت لتحديثات البرامج، وقد لا يتمكن مسؤولو النظام لديهم من تثبيت التصحيح على الفور. لمنع خوادم DNS من الاختراق في مثل هذه الحالات، اقترحت الشركة أيضًا حلاً بديلاً. يتضمن إجراء التغييرات التالية على سجل النظام:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
بعد حفظ التغييرات، ستحتاج إلى إعادة تشغيل الخادم. لاحظ أن هذا الحل البديل من المحتمل أن يؤدي إلى تشغيل غير صحيح للخادم وذلك في الحالات النادرة التي يتلقى فيها الخادم حزمة بروتوكول الإنترنت (TCP) أكبر من 65280 بايت، لذا توصي Microsoft بحذف مفتاح TcpReceivePacketSize وقيمته، وإعادة “إدخال التسجيل” إلى حالته الأصلية، بمجرد أن يتم تثبيت التصحيح.
من جانبنا، نود تذكيرك بأن خادم DNS الذي يعمل في بنيتك الأساسية هو جهاز كمبيوتر، شأنه شأن أي نقطة نهاية أخرى. ويمكن وجود ثغرات أمنية، يمكن لمجرمي الإنترنت محاولة استغلالها. لذا، مثل أي نقطة نهاية أخرى على الشبكة، يلزم وجود حل أمان، مثل Kaspersky Endpoint Security for Business.
النصائح