მაიკროსოფტმა შეასწორა კრიტიკული „wormable“ დაუცველობა Windows DNS სერვერზე
მაიკროსოფტმა გამოაცხადა ახალი პატჩი, რომელიც აგვარებს კრიტიკულ დაუცველობას Windows DNS სერვერზე, რომელიც კლასიფიცირებულია, როგორც "wormable" დაუცველობა და აქვს CVSS საბაზისო ქულა. 10.0.
Wormable დაუცველობას აქვს პოტენციალი გავრცელდეს მავნე პროგრამების საშუალებით დაუცველ კომპიუტერებს შორის მომხმარებლის ურთიერთქმედების გარეშე. Windows DNS სერვერი არის ქსელის ძირითადი კომპონენტი. მიუხედავად იმისა, რომ ეს დაუცველობა ამჟამად არ არის ცნობილი, რომ გამოიყენება აქტიურ შეტევებში, აუცილებელია, რომ მომხმარებლებმა გამოიყენონ Windows განახლებები ამ დაუცველობის აღმოსაფხვრელად რაც შეიძლება მალე.
შესწორებული დაუცველობა, CVE-2020-1350, აღწერილია Microsoft-ის მიერ შემდეგნაირად.
დისტანციური კოდის შესრულების დაუცველობა არსებობს Windows Domain Name System სერვერებში, როდესაც ისინი სათანადოდ ვერ ასრულებენ მოთხოვნებს. თავდამსხმელს, რომელმაც წარმატებით გამოიყენა დაუცველობა, შეეძლო თვითნებური კოდის გაშვება ლოკალური სისტემის ანგარიშის კონტექსტში. Windows სერვერები, რომლებიც კონფიგურირებულია როგორც DNS სერვერები, ამ დაუცველობის რისკის ქვეშ არიან.
დაუცველობის გამოსაყენებლად, არაავთენტიფიცირებულ თავდამსხმელს შეუძლია მავნე მოთხოვნების გაგზავნა Windows DNS სერვერზე.
განახლება აგვარებს დაუცველობას Windows DNS სერვერების მოთხოვნების დამუშავების გზით.
კლიენტებს, რომლებსაც ჩართული აქვთ ავტომატური განახლებები, არ სჭირდებათ რაიმე დამატებითი ქმედებების განხორციელება, ამბობს Microsoft. The ჩამოთვლილი პატჩები გაასწორებს დაყენებისას.
თუ განახლება მიუწვდომელია, შესაძლებელია შერბილება დაუცველობა რეესტრის შესწორებით.
ამ დაუცველობის აღმოსაფხვრელად,
შეიტანეთ შემდეგი რეესტრის ცვლილება, რათა შეზღუდოთ ყველაზე დიდი შემომავალი TCP-ზე დაფუძნებული DNS პასუხის პაკეტის ზომა:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
მნიშვნელობა = 0xFF00
შენიშვნა თქვენ უნდა გადატვირთოთ DNS სერვისი, რომ რეესტრის ცვლილება ძალაში შევიდეს.
- ნაგულისხმევი (ასევე მაქსიმალური) მნიშვნელობა =
0xFFFF - რეკომენდებული მნიშვნელობა =
0xFF00(255 ბაიტი ნაკლები მაქსიმუმზე)
გამოსავლის განხორციელების შემდეგ, Windows DNS სერვერი ვერ შეძლებს DNS სახელების ამოხსნას თავისი კლიენტებისთვის, როდესაც DNS პასუხი ზემოთ ნაკადის სერვერიდან 65280 ბაიტზე მეტია.
