Společnost Microsoft opravila kritickou „červovou“ zranitelnost v systému Windows DNS Server
Společnost Microsoft oznámila novou opravu, která řeší kritickou zranitelnost v systému Windows DNS Server, která je klasifikována jako „červovatelná“ zranitelnost a má základní skóre CVSS 10.0.
Wormable zranitelnosti mají potenciál šířit se prostřednictvím malwaru mezi zranitelnými počítači bez interakce uživatele. Windows DNS Server je základní síťová součást. I když v současné době není známo, že by se tato zranitelnost používala v aktivních útocích, je nezbytné, aby zákazníci co nejdříve použili aktualizace systému Windows a tuto zranitelnost vyřešili.
Opravená chyba zabezpečení CVE-2020-1350 je popsána společností Microsoft následovně.
Na serverech systému Windows Domain Name System existuje chyba zabezpečení, která může způsobit vzdálené spuštění kódu, pokud selhávají při správném zpracování požadavků. Útočník, který by tuto chybu zabezpečení úspěšně zneužil, by mohl spustit libovolný kód v kontextu místního systémového účtu. Touto chybou zabezpečení jsou ohroženy servery Windows, které jsou nakonfigurovány jako servery DNS.
Za účelem zneužití této chyby zabezpečení by neověřený útočník mohl odeslat škodlivé požadavky na server DNS systému Windows.
Aktualizace řeší tuto chybu zabezpečení úpravou způsobu, jakým servery DNS systému Windows zpracovávají požadavky.
Zákazníci se zapnutými automatickými aktualizacemi nemusí podnikat žádné další kroky, říká Microsoft. The uvedené záplaty opraví to při instalaci.
Pokud aktualizace není dostupná, je to možné zmírnit zranitelnost s vylepšením registru.
Chcete-li tuto chybu zabezpečení obejít,
Chcete-li omezit velikost největšího povoleného příchozího paketu odpovědi DNS založeného na protokolu TCP, proveďte následující změnu registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Hodnota = 0xFF00
Poznámka Aby se změna registru projevila, musíte restartovat službu DNS.
- Výchozí (také maximální) hodnota =
0xFFFF - Doporučená hodnota =
0xFF00(255 bajtů méně než maximum)
Po implementaci tohoto zástupného řešení nebude server DNS systému Windows schopen přeložit názvy DNS pro své klienty, pokud je odpověď DNS z nadřazeného serveru větší než 65 280 bajtů.
