本页包含网络安全和基础设施安全局紧急指令20-03的Web友好版本,“从2020年7月起缓解Windows DNS服务器远程代码执行漏洞星期二修补程序”。此外,请参阅中国钢铁工业协会的博客文章。
美国法典第44章第3553(H)节授权国土安全部部长,针对已知或合理怀疑的信息安全威胁、漏洞或对机构信息安全构成实质性威胁的事件,“向机构负责人发出紧急指令,对信息系统(包括由另一个实体代表机构使用或操作的此类系统)的操作采取任何合法行动,以此为目的收集、处理、存储、传输、传播或以其他方式维护机构信息。”(注:美国法典第44章第353(H)节)授权国土安全部部长针对已知或合理怀疑的信息安全威胁、漏洞或对机构信息安全构成实质性威胁的事件,“向机构负责人发出紧急指令,对信息系统(包括由另一实体代表机构使用或操作的此类系统)的操作采取任何合法行动,以便收集、处理、存储、传输、传播或以其他方式维护机构信息。信息安全威胁“,”美国法典“44U.S.C.§3553(H)(1)-(2)。
经修订的2002年“国土安全法”第2205(3)节将这一权力授权给网络安全和基础设施安全局(Cybersecurity And Infrastructure Security Agency)局长。“美国法典”第6编第655(3)条。
这些指令不适用于法定定义的“国家安全系统”,也不适用于国防部或情报界运营的系统。“美国法典”第44编第3553(D)、(E)(2)、(E)(3)、(H)(1)(B)节。
2020年7月14日,微软发布了软件更新,以缓解Windows Server操作系统CVE-2020-1350中的严重漏洞。如何将Windows Server配置为运行域名系统(DNS)服务器角色中存在远程代码执行漏洞。如果利用该漏洞,攻击者可以在本地系统帐户的上下文中运行任意代码。为了利用该漏洞,未经验证的攻击者向Windows DNS服务器发送恶意请求。
网络安全和基础设施安全局(CISA)没有意识到该漏洞被积极利用,但评估表明,潜在的漏洞可以通过公开可用的补丁快速逆向工程。除了从网络中删除受影响的端点外,此漏洞还有两种已知的技术缓解方法:
CISA已确定此漏洞对联邦文职行政部门构成不可接受的重大风险,并要求立即采取紧急行动。这一确定基于被利用漏洞的真实性、受影响软件在整个联邦企业中的广泛使用、机构信息系统受损的高可能性以及成功受损的严重影响。
CISA要求各机构尽快将安全更新应用到运行Windows Server操作系统的所有端点。注册表修改解决方法可以帮助临时保护受影响的Windows DNS服务器(直到可以应用更新之前),并且无需重新启动服务器即可实施。注册表修改解决方法将导致DNS服务器丢弃超过推荐值的响应数据包而不会出错,并且可能无法应答某些请求。注册表修改解决方法与安全更新兼容,但应在应用更新后删除,以防止运行非标准配置可能导致的潜在未来影响。
a.在美国东部夏令时2020年7月17日(星期五)下午2:00之前,确保将2020年7月的安全更新或注册表修改解决方法应用于所有运行DNS角色的Windows服务器。
b.在美国东部夏令时2020年7月24日(星期五)下午2:00之前,确保将2020年7月的安全更新应用于所有Windows服务器,并在必要和适用的情况下删除注册表更改解决办法。
c.在美国东部夏令时2020年7月24日(星期五)下午2:00之前,确保技术和/或管理控制到位,以确保在连接到机构网络之前更新新配置或以前断开的服务器。
这些要求适用于任何信息系统中的Windows服务器,包括由代表机构使用或操作的另一实体代表机构收集、处理、存储、传输、传播或以其他方式维护机构信息的信息系统。
在服务器无法在7个工作日内更新的情况下,CISA建议各机构考虑将其从网络中移除。
a.在美国东部时间2020年7月20日(星期一)下午2:00之前,使用提供的模板提交初始状态报告。该报告将包括与该机构当前状态相关的估计状态信息,并将确定制约因素、支持需求和观察到的挑战。
b.在美国东部时间2020年7月24日(星期五)下午2:00之前,使用提供的模板提交完成报告。部门级首席信息官(CIO)或等效人员必须提交完成报告,向CISA证明适用的更新已应用于所有受影响的端点,并保证新配置的或以前断开的服务器将按照本指令的要求在网络连接之前进行修补(根据操作1)。
CISA将继续监测并与我们的合作伙伴合作,以确定该漏洞是否被积极利用。
CISA将通过CISA网站,通过紧急指令发布协调电话,以及应请求通过个人参与(通过[email protected])向各机构提供额外指导。
从2020年8月13日开始,CISA主任将酌情并基于基于风险的方法,聘请CIO和/或机构高级官员负责尚未完成所需行动的机构的风险管理(SAORM)。
到2020年9月3日,CISA将向国土安全部部长和管理和预算办公室(OMB)主任提交一份报告,确定跨机构状况和悬而未决的问题。
在所有机构应用2020年7月的安全更新或通过其他适当的行动终止该指令之前,该紧急指令一直有效。