Microsoft hat eine kritische „wurmfähige“ Schwachstelle in Windows DNS Server gepatcht
Microsoft hat einen neuen Patch angekündigt, der eine kritische Sicherheitslücke in Windows DNS Server behebt, die als „wurmbar“ eingestuft wird und einen CVSS-Basiswert von. hat 10.0.
Wormable-Sicherheitslücken können sich ohne Benutzerinteraktion über Malware zwischen anfälligen Computern ausbreiten. Windows DNS Server ist eine zentrale Netzwerkkomponente. Obwohl derzeit nicht bekannt ist, dass diese Sicherheitsanfälligkeit bei aktiven Angriffen ausgenutzt wird, ist es wichtig, dass Kunden Windows-Updates installieren, um diese Sicherheitsanfälligkeit so schnell wie möglich zu beheben.
Die gepatchte Schwachstelle CVE-2020-1350 wird von Microsoft wie folgt beschrieben.
Auf Windows Domain Name System-Servern liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn diese Anforderungen nicht ordnungsgemäß verarbeiten. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann im Kontext des lokalen Systemkontos beliebigen Code ausführen. Windows-Server, die als DNS-Server konfiguriert sind, sind durch diese Sicherheitsanfälligkeit gefährdet.
Um die Sicherheitsanfälligkeit auszunutzen, kann ein nicht authentifizierter Angreifer bösartige Anfragen an einen Windows-DNS-Server senden.
Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Windows-DNS-Server Anforderungen verarbeiten.
Kunden mit aktivierten automatischen Updates müssen keine zusätzlichen Maßnahmen ergreifen, sagt Microsoft. Die aufgelistete Patches wird es bei der Installation beheben.
Wenn das Update nicht zugänglich ist, können Sie mildern die Schwachstelle mit einem Registry-Tweak.
Um diese Sicherheitsanfälligkeit zu umgehen,
Nehmen Sie die folgende Registrierungsänderung vor, um die Größe des größten zulässigen eingehenden TCP-basierten DNS-Antwortpakets einzuschränken:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Wert = 0xFF00
Notiz Sie müssen den DNS-Dienst neu starten, damit die Registrierungsänderung wirksam wird.
- Der Standardwert (auch maximal) =
0xFFFF
- Der empfohlene Wert =
0xFF00
(255 Byte weniger als das Maximum)
Nachdem die Problemumgehung implementiert wurde, kann ein Windows-DNS-Server DNS-Namen für seine Clients nicht auflösen, wenn die DNS-Antwort vom Upstream-Server größer als 65280 Byte ist.