Microsoft ha corretto una vulnerabilità critica "wormable" nel server DNS di Windows
Microsoft ha annunciato una nuova patch che risolve una vulnerabilità critica nel server DNS di Windows che è classificata come vulnerabilità "wormable" e ha un punteggio base CVSS di 10.0.
Le vulnerabilità Wormable possono diffondersi tramite malware tra computer vulnerabili senza l'interazione dell'utente. Windows DNS Server è un componente di rete principale. Sebbene questa vulnerabilità non sia attualmente nota per essere utilizzata in attacchi attivi, è essenziale che i clienti applichino gli aggiornamenti di Windows per risolvere questa vulnerabilità il prima possibile.
Annuncio
La vulnerabilità con patch, CVE-2020-1350, è descritta da Microsoft come segue.
Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota nei server Windows Domain Name System quando non riescono a gestire correttamente le richieste. Sfruttando la vulnerabilità, un utente malintenzionato potrebbe eseguire codice arbitrario nel contesto dell'account di sistema locale. I server Windows configurati come server DNS sono a rischio di questa vulnerabilità.
Per sfruttare la vulnerabilità, un utente malintenzionato non autenticato potrebbe inviare richieste dannose a un server DNS di Windows.
L'aggiornamento risolve la vulnerabilità modificando il modo in cui i server DNS di Windows gestiscono le richieste.
I clienti con gli aggiornamenti automatici attivati non devono intraprendere alcuna azione aggiuntiva, afferma Microsoft. Il patch elencate lo risolverà una volta installato.
Se l'aggiornamento non è accessibile, è possibile mitigare la vulnerabilità con un tweak del Registro di sistema.
Per aggirare questa vulnerabilità,
Apportare la seguente modifica al registro per limitare la dimensione del pacchetto di risposta DNS basato su TCP in entrata più grande consentito:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Valore = 0xFF00
Nota È necessario riavviare il servizio DNS affinché la modifica del registro abbia effetto.
- Il valore predefinito (anche massimo) =
0xFFFF - Il valore consigliato =
0xFF00(255 byte in meno del massimo)
Dopo l'implementazione della soluzione alternativa, un server DNS di Windows non sarà in grado di risolvere i nomi DNS per i suoi client quando la risposta DNS dal server upstream è maggiore di 65280 byte.
