一、事件描述

7月14日，微软最新的月度补丁更新中修复了一枚存在于Windows DNS服务器中的可蠕虫化漏洞CVE-2020-1350（代号SigRed）。这意味着攻击者利用该漏洞能够在没有任何用户交互的情况下，在易受攻击的机器间传播，从而有可能感染整个组织的网络。

二、受影响版本

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

三、安全建议

微软官方已针对受影响系统发布安全补丁，强烈建议相关用户尽快安装补丁更新。补丁升级，参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

在应用补丁之前，建议将DNS消息（通过TCP）的最大长度设置为0xFF00缓解漏洞。可以通过执行以下命令实现：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f

net stop DNS && net start DNS

同时，建议设置DNS服务器为受信任的服务器。