Microsoft ha parcheado una vulnerabilidad crítica "wormable" en el servidor DNS de Windows
Microsoft ha anunciado un nuevo parche que resuelve una vulnerabilidad crítica en el servidor DNS de Windows que se clasifica como una vulnerabilidad "wormable" y tiene una puntuación base CVSS de 10.0.
Las vulnerabilidades agravables tienen el potencial de propagarse a través de malware entre computadoras vulnerables sin la interacción del usuario. El servidor DNS de Windows es un componente de red central. Si bien actualmente no se sabe que esta vulnerabilidad se use en ataques activos, es esencial que los clientes apliquen actualizaciones de Windows para abordar esta vulnerabilidad lo antes posible.
Microsoft describe la vulnerabilidad parcheada, CVE-2020-1350, de la siguiente manera.
Existe una vulnerabilidad de ejecución remota de código en los servidores del Sistema de nombres de dominio de Windows cuando no gestionan correctamente las solicitudes. Un atacante que aproveche con éxito la vulnerabilidad podría ejecutar código arbitrario en el contexto de la cuenta del sistema local. Los servidores de Windows que están configurados como servidores DNS están expuestos a esta vulnerabilidad.
Para aprovechar la vulnerabilidad, un atacante no autenticado podría enviar solicitudes maliciosas a un servidor DNS de Windows.
La actualización corrige la vulnerabilidad al modificar la forma en que los servidores DNS de Windows manejan las solicitudes.
Los clientes con actualizaciones automáticas activadas no necesitan realizar ninguna acción adicional, dice Microsoft. los parches enumerados lo arreglará cuando esté instalado.
Si no se puede acceder a la actualización, es posible mitigar la vulnerabilidad con un ajuste del Registro.
Para solucionar esta vulnerabilidad,
Realice el siguiente cambio de registro para restringir el tamaño del paquete de respuesta DNS entrante basado en TCP más grande permitido:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters
TcpReceivePacketSize
Valor = 0xFF00
Nota Debe reiniciar el servicio DNS para que el cambio de registro surta efecto.
- El valor predeterminado (también máximo) =
0xFFFF - El valor recomendado =
0xFF00(255 bytes menos que el máximo)
Una vez implementada la solución alternativa, un servidor DNS de Windows no podrá resolver los nombres DNS de sus clientes cuando la respuesta DNS del servidor ascendente sea superior a 65280 bytes.
