Microsoft on korjannut Windows DNS Serverin kriittisen "madotettavan" haavoittuvuuden
Microsoft on julkistanut uuden korjaustiedoston, joka ratkaisee Windows DNS Serverin kriittisen haavoittuvuuden, joka on luokiteltu "madotettavaksi" haavoittuvuudeksi ja jonka CVSS-peruspistemäärä on 10.0.
Madotettavat haavoittuvuudet voivat levitä haittaohjelmien kautta haavoittuvien tietokoneiden välillä ilman käyttäjän toimia. Windows DNS Server on ydinverkkokomponentti. Vaikka tätä haavoittuvuutta ei tällä hetkellä tiedetä käytettävän aktiivisissa hyökkäyksissä, on tärkeää, että asiakkaat korjaavat tämän haavoittuvuuden asentamalla Windows-päivitykset mahdollisimman pian.
Microsoft kuvailee korjatun haavoittuvuuden CVE-2020-1350 seuraavasti.
Windows Domain Name System -palvelimissa on koodin etäsuorittamisen haavoittuvuus, kun ne eivät pysty käsittelemään pyyntöjä oikein. Haavoittuvuutta onnistuneesti hyödyntänyt hyökkääjä voi suorittaa mielivaltaisen koodin paikallisen järjestelmätilin yhteydessä. DNS-palvelimiksi määritetyt Windows-palvelimet ovat tämän haavoittuvuuden vaarassa.
Hyödyntämään haavoittuvuutta todentamaton hyökkääjä voi lähettää haitallisia pyyntöjä Windowsin DNS-palvelimelle.
Päivitys korjaa haavoittuvuuden muuttamalla tapaa, jolla Windowsin DNS-palvelimet käsittelevät pyyntöjä.
Asiakkaiden, joilla on automaattiset päivitykset päällä, ei tarvitse tehdä mitään lisätoimia, Microsoft sanoo. The luetellut laastarit korjaa sen asennuksen jälkeen.
Jos päivitys ei ole saatavilla, se on mahdollista lieventää haavoittuvuus rekisterin säädöllä.
Voit kiertää tämän haavoittuvuuden
Tee seuraava rekisterimuutos rajoittaaksesi suurimman sallitun saapuvan TCP-pohjaisen DNS-vastauspaketin kokoa:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Arvo = 0xFF00
Huomautus Sinun on käynnistettävä DNS-palvelu uudelleen, jotta rekisterimuutos tulee voimaan.
- Oletusarvo (myös maksimi) =
0xFFFF - Suositeltu arvo =
0xFF00(255 tavua vähemmän kuin maksimi)
Kun kiertotapa on toteutettu, Windowsin DNS-palvelin ei pysty ratkaisemaan asiakkaidensa DNS-nimiä, jos ylävirran palvelimen DNS-vastaus on suurempi kuin 65 280 tavua.
