„Microsoft“ pataisė kritinį „Windows DNS Server“ pažeidžiamumą
„Microsoft“ paskelbė apie naują pataisą, kuri pašalina kritinį „Windows DNS Server“ pažeidžiamumą, kuris yra klasifikuojamas kaip „kirminantis“ pažeidžiamumas ir kurio CVSS bazinis balas 10.0.
Pažeidžiamumas, kurį sukelia kenkėjiškos programos, gali plisti tarp pažeidžiamų kompiuterių be vartotojo sąveikos. „Windows DNS Server“ yra pagrindinis tinklo komponentas. Nors šiuo metu nėra žinoma, kad šis pažeidžiamumas būtų naudojamas aktyvioms atakoms, labai svarbu, kad klientai pritaikytų „Windows“ naujinimus, kad kuo greičiau pašalintų šią pažeidžiamumą.
Skelbimas
Pataisytą pažeidžiamumą CVE-2020-1350 Microsoft apibūdina taip.
Kai nepavyksta tinkamai apdoroti užklausų, Windows domenų vardų sistemos serveriuose yra nuotolinio kodo vykdymo pažeidžiamumas. Užpuolikas, sėkmingai pasinaudojęs pažeidžiamumu, gali paleisti savavališką kodą vietinės sistemos paskyros kontekste. „Windows“ serveriams, sukonfigūruotiems kaip DNS serveriai, kyla pavojus dėl šio pažeidžiamumo.
Kad išnaudotų pažeidžiamumą, neautentifikuotas užpuolikas gali siųsti kenkėjiškas užklausas į Windows DNS serverį.
Atnaujinimas pašalina pažeidžiamumą pakeisdamas, kaip Windows DNS serveriai apdoroja užklausas.
Klientams, kuriems įjungti automatiniai naujinimai, nereikia imtis jokių papildomų veiksmų, teigia Microsoft. The išvardyti pleistrai sutvarkys jį įdiegus.
Jei naujinimas nepasiekiamas, tai įmanoma sušvelninti pažeidžiamumas naudojant registro pakeitimą.
Norėdami apeiti šį pažeidžiamumą,
Atlikite šį registro pakeitimą, kad apribotumėte didžiausio leidžiamo gaunamo TCP DNS atsako paketo dydį:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Reikšmė = 0xFF00
Pastaba Turite iš naujo paleisti DNS paslaugą, kad registro pakeitimas įsigaliotų.
- Numatytoji (taip pat maksimali) reikšmė =
0xFFFF - Rekomenduojama vertė =
0xFF00(255 baitais mažiau nei maksimalus)
Įgyvendinus sprendimą, „Windows“ DNS serveris negalės nustatyti savo klientų DNS pavadinimų, kai DNS atsakymas iš ankstesnio serverio yra didesnis nei 65 280 baitų.