Microsoft telah menambal kerentanan kritis 'wormable' di Windows DNS Server
Microsoft telah mengumumkan patch baru yang menyelesaikan kerentanan kritis di Windows DNS Server yang diklasifikasikan sebagai kerentanan 'wormable' dan memiliki skor dasar CVSS sebesar 10.0.
Kerentanan Wormable berpotensi menyebar melalui malware antara komputer yang rentan tanpa interaksi pengguna. Windows DNS Server adalah komponen jaringan inti. Meskipun kerentanan ini saat ini tidak diketahui digunakan dalam serangan aktif, penting bagi pelanggan untuk menerapkan pembaruan Windows untuk mengatasi kerentanan ini sesegera mungkin.
Iklan
Kerentanan yang ditambal, CVE-2020-1350, dijelaskan oleh Microsoft sebagai berikut.
Kerentanan eksekusi kode jauh ada di server sistem nama domain Windows ketika mereka gagal menangani permintaan dengan benar. Penyerang yang berhasil mengeksploitasi kerentanan dapat menjalankan kode arbitrer dalam konteks Akun Sistem Lokal. Server Windows yang dikonfigurasi sebagai server DNS berisiko dari kerentanan ini.
Untuk mengeksploitasi kerentanan, penyerang yang tidak diautentikasi dapat mengirim permintaan berbahaya ke server DNS Windows.
Pemutakhiran mengatasi kerentanan dengan mengubah cara server DNS Windows menangani permintaan.
Pelanggan dengan pembaruan otomatis yang diaktifkan tidak perlu melakukan tindakan tambahan apa pun, kata Microsoft. NS tambalan yang terdaftar akan memperbaikinya saat dipasang.
Jika pembaruan tidak dapat diakses, dimungkinkan untuk mengurangi kerentanan dengan tweak Registry.
Untuk mengatasi kerentanan ini,
Buat perubahan registri berikut ini untuk membatasi ukuran paket respons DNS berbasis TCP masuk terbesar yang diizinkan:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Nilai = 0xFF00
Catatan Anda harus memulai ulang Layanan DNS agar perubahan registri diterapkan.
- Nilai Default (juga maks) =
0xFFFF
- Nilai yang Direkomendasikan =
0xFF00
(255 byte kurang dari maks)
Setelah solusi diterapkan, server DNS Windows tidak akan dapat menyelesaikan nama DNS untuk kliennya saat respons DNS dari server hulu lebih besar dari 65.280 byte.