본문 바로가기

벌새::Security

Windows DNS 서버에서 발견된 SIGRed 취약점(CVE-2020-1350) 패치 소식 (2020.7.15)

2020년 7월 15일 공개된 마이크로소프트(Microsoft) 보안 업데이트 중 Check Point 해외 보안 업체에서 발견한 Windows DNS 서버 원격 코드 실행 취약점(CVE-2020-1350)에 대한 보안 패치가 포함되어 있습니다.

 

2020년 7월 Windows Server 2016 업데이트

DNS(Domain Name System)는 특정 도메인 주소를 DNS 서버에 질의할 경우 DNS 레코드 정보를 확인하여 IP 주소가 아닌 문자로 구성된 URL 주소로 응답하여 연결을 지원해주는 것을 의미합니다.

 

그런데 DNS 서버에 공격자가 악의적인 DNS 쿼리 요청을 파싱하여 응답하는 과정에서 Heap 기반 Buffer Overflow가 발생하여 서버 제어권을 공격자가 얻을 수 있는 문제가 있으며, 이를 통해 제어권을 획득한 공격자는 웜(Worm)처럼 빠른 시간에 기업 네트워크 인프라를 장악할 수 있습니다.

 

<Check Point Research> SIGRed – Resolving Your Way into Domain Admin: Exploiting a 17 Year-old Bug in Windows DNS Servers (2020.7.14)

 

CVE-2020-1350 : Windows DNS 서버 원격 코드 실행 취약점

 

● 영향을 받는 운영 체제 버전 : Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, 

Windows Server 2019

 

Windows Domain Name System 서버가 요청을 제대로 처리하지 못할 때 원격 코드 실행 취약점이 존재합니다. 이 취약점을 악용하는데 성공한 공격자는 로컬 시스템 계정의 상황에서 임의의 코드를 실행할 수 있습니다. DNS 서버로 구성된 Windows 서버는 이 취약점으로부터 위험합니다.

이 취약점을 악용하기 위해서는 인증되지 않은 공격자가 Windows DNS 서버에 악의적인 요청을 보낼 수 있습니다.

이 업데이트는 Windows DNS 서버가 요청을 처리하는 방식을 수정하여 취약점을 해결합니다.

 

참고로 보안 패치 지원이 종료된 Windows Server 2008, Windows Server 2008 R2 운영 체제의 경우 다음과 같은 레지스트리 추가 및 DNS 서비스 중지 및 재시작을 통해 해결하시기 바랍니다.

 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f
net stop DNS && net start DNS

 

일반 개인 사용자는 무관하지만 기업에서 운영하는 Windows Server 운영 체제 중 DNS 서버 서비스를 이용할 경우에는 반드시 2020년 7월 정기 보안 업데이트를 통해 SIGRed 취약점(CVE-2020-1350)에 대한 보안 패치를 설치하시기 바랍니다.