DNS服务器漏洞可能导致远程代码执行
今天我们发布了MS11-058安全更新,修复了Microsoft DNS服务中的两个漏洞。其中CVE-2011-1966漏洞可能允许攻击者在特定DNS配置的Windows Server 2008和2008 R2 DNS服务器上执行任意代码。本文将分享更多技术细节,帮助您评估环境风险。
受影响DNS配置
该漏洞影响允许攻击者通过恶意DNS服务器查询NAPTR资源记录的DNS服务器。常见受影响场景是企业网络中启用缓存的递归DNS服务器,而面向互联网的权威DNS服务器(通常禁用递归)受影响较小。
代码执行可能性较低
虽然该漏洞会导致堆内存损坏,但由于以下因素,实际更可能导致服务拒绝而非代码执行:
- 漏洞本质是符号扩展错误,memcpy操作需要复制至少2GB数据
- Windows Server 2008的ASLR、DEP和堆保护机制增加利用难度
- DNS服务在崩溃三次后将停止重启
攻击向量详解
当受害DNS服务器(递归功能开启)向攻击者控制的恶意DNS服务器查询NAPTR记录时,精心构造的响应数据会触发漏洞。攻击示意图:
- 客户端向企业DNS服务器查询evil.contoso.com的NAPTR记录
- 企业DNS服务器向contoso.com权威服务器查询
- 恶意DNS服务器返回畸形NAPTR记录
- 受害DNS服务器解析时崩溃
常见问题解答
Q:不托管NAPTR记录是否需要补丁?
A:需要。漏洞存在于解析逻辑而非托管功能。
Q:仅托管权威区域且禁用递归是否受影响?
A:技术上不受影响,但仍建议修补所有DNS服务器。
Q:企业网络是否易受攻击?
A:使用Web代理且限制DNS解析互联网域名可降低风险。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
浙公网安备 33010602011771号