互联网|微软曝出评分10级的重大漏洞 已存在17年


我们上网冲浪的时候 , 输入域名 , 电脑就会访问域名系统( DNS ) ,DNS 找到与域名相对应的 IP 地址再回执给电脑 。
那么DNS 漏洞是啥呢 。
简单来说 , 就是黑客攻击了老司机 , 你跟老司机说我要去 A 地 , 但是老司机把你带去了 B 地 。
据外媒报道 , 微软在本周的Patch Tuesday(星期二补丁日)发布了123个修复的更新 , 其中包括了截至目前发现的今年最严重的DNS漏洞 。
微软将一个17年前的 Windows DNS 服务器的安全漏洞列为“蠕虫” 。 这个漏洞可能允许攻击者创建特殊的恶意软件 , 甚至导致企业和关键部门的基础设施被入侵 , 这个漏洞影响全部 Windows Server 版本 , 其他版 Windows 10不受影响 。

互联网|微软曝出评分10级的重大漏洞 已存在17年
本文插图
微软首席安全项目经理 Mechele Gruhn 解释说:”蠕虫漏洞有可能在没有用户交互的情况下 , 通过恶意软件在易受攻击的计算机之间传播 , 在 Windows 服务器上远程实行代码 , 并创建恶意的 DNS 查询 , “Windows DNS 服务器是一个核心网络组件 。 虽然目前还不知道这个漏洞是否被用于主动攻击 , 但客户必须尽快应用 Windows 更新来解决这个漏洞 。 ”
Check Point 的研究人员意识到了 Windows DNS 的安全漏洞 , 并在5月份向微软报告 。 如果不打补丁 , 就会使 Windows 服务器容易受到攻击 , 不过微软指出 , 目前还没有意识到这个漏洞被利用的证据 。
“DNS 服务器漏洞是一件非常严重的事情 , ”Check Point 的漏洞研究团队负责人 Omri Herscovici 警告说 。 “这些漏洞类型只有少数几个发布过 。 每一个使用微软基础设施的组织 , 无论大小 , 如果不打补丁 , 都会面临重大安全风险 , 最坏的后果将是整个企业网络的彻底破坏 。 这个漏洞在微软的代码中已经存在了17年以上;既然我们能够发现这个漏洞 , 那么别人也已经发现了这个漏洞也不是不可能 。 ”
【互联网|微软曝出评分10级的重大漏洞 已存在17年】
互联网|微软曝出评分10级的重大漏洞 已存在17年
本文插图
微软在通用漏洞评分系统上给出了10分的最高风险分 , 强调了问题的严重性 。
作为对比WannaCry使用的永恒之蓝的评分为8.5分, 永恒之蓝漏洞已经相当恐怖何况本次10分级别的DNS漏洞 。
微软还发布了一个基于注册表的工作方法 , 以防止管理员无法快速修补服务器时紧急处理缺陷 。
如果安装安全更新的话则需要重启系统 , 如果企业业务不能中断不能重启的话也可通过注册表临时阻断攻击路径 。