Microsoft har rettet en kritisk "ormebar" sårbarhed i Windows DNS Server
Microsoft har annonceret en ny patch, der løser en kritisk sårbarhed i Windows DNS Server, der er klassificeret som en "ormebar" sårbarhed og har en CVSS-basisscore på 10.0.
Wormable sårbarheder har potentiale til at spredes via malware mellem sårbare computere uden brugerinteraktion. Windows DNS Server er en kerne-netværkskomponent. Selvom denne sårbarhed i øjeblikket ikke er kendt for at blive brugt i aktive angreb, er det vigtigt, at kunderne anvender Windows-opdateringer for at løse denne sårbarhed så hurtigt som muligt.
Den lappede sårbarhed, CVE-2020-1350, er beskrevet af Microsoft som følger.
Der findes en sårbarhed ved fjernudførelse af kode i Windows Domain Name System-servere, når de ikke håndterer anmodninger korrekt. En hacker, der med succes udnyttede sårbarheden, kunne køre vilkårlig kode i forbindelse med den lokale systemkonto. Windows-servere, der er konfigureret som DNS-servere, er udsat for denne sårbarhed.
For at udnytte sårbarheden kan en uautoriseret angriber sende ondsindede anmodninger til en Windows DNS-server.
Opdateringen løser sårbarheden ved at ændre, hvordan Windows DNS-servere håndterer anmodninger.
Kunder med automatiske opdateringer aktiveret behøver ikke at foretage sig yderligere, siger Microsoft. Det listede patches vil rette det, når det er installeret.
Hvis opdateringen ikke er tilgængelig, er det muligt at afbøde sårbarheden med en tweak i registreringsdatabasen.
For at omgå denne sårbarhed,
Foretag følgende ændring i registreringsdatabasen for at begrænse størrelsen af den største tilladte indgående TCP-baserede DNS-svarpakke:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Værdi = 0xFF00
Bemærk Du skal genstarte DNS-tjenesten for at ændringen i registreringsdatabasen træder i kraft.
- Standardværdien (også maks.) =
0xFFFF - Den anbefalede værdi =
0xFF00(255 bytes mindre end maks.)
Efter at løsningen er implementeret, vil en Windows DNS-server ikke være i stand til at løse DNS-navne for sine klienter, når DNS-svaret fra upstream-serveren er større end 65280 bytes.
