Microsoft on parandanud Windowsi DNS-serveri kriitilise "ussitava" haavatavuse
Microsoft teatas uuest paigast, mis lahendab Windowsi DNS-serveri kriitilise haavatavuse, mis on klassifitseeritud "ussirohutavaks" haavatavaks ja mille CVSS-i baasskoor on 10.0.
Ussitavad haavatavused võivad levida pahavara kaudu haavatavate arvutite vahel ilma kasutaja sekkumiseta. Windowsi DNS-server on põhivõrgu komponent. Kuigi praegu teadaolevalt seda haavatavust aktiivsetes rünnakutes ei kasutata, on oluline, et kliendid rakendaksid selle haavatavuse kõrvaldamiseks Windowsi värskendusi niipea kui võimalik.
Microsoft kirjeldab paigatud haavatavust CVE-2020-1350 järgmiselt.
Windowsi domeeninimesüsteemi serverites on koodi kaugkäitamise haavatavus, kui need ei suuda päringuid õigesti käsitleda. Haavatavust edukalt ära kasutanud ründaja võib kohaliku süsteemikonto kontekstis käivitada suvalise koodi. See haavatavus ohustab Windowsi servereid, mis on konfigureeritud DNS-serveriteks.
Haavatavuse ärakasutamiseks võib autentimata ründaja saata pahatahtlikke päringuid Windowsi DNS-serverisse.
Värskendus kõrvaldab haavatavuse, muutes seda, kuidas Windowsi DNS-serverid päringuid käsitlevad.
Kliendid, kellel on automaatsed värskendused sisse lülitatud, ei pea lisatoiminguid tegema, ütleb Microsoft. The loetletud plaastrid parandab selle installimisel.
Kui värskendus pole ligipääsetav, on see võimalik leevendada haavatavus registri näpistamisega.
Selle haavatavuse vältimiseks
Tehke järgmine registrimuudatus, et piirata suurima lubatud sissetuleva TCP-põhise DNS-i vastuse paketi suurust:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Väärtus = 0xFF00
Märge Registrimuudatuse jõustumiseks peate DNS-teenuse taaskäivitama.
- Vaikeväärtus (ka maksimaalne) =
0xFFFF - Soovitatav väärtus =
0xFF00(255 baiti vähem kui maksimaalne)
Pärast lahenduse rakendamist ei saa Windowsi DNS-server oma klientide DNS-i nimesid lahendada, kui ülesvooluserveri DNS-vastus on suurem kui 65280 baiti.
