Korporācija Microsoft ir izlabojusi Windows DNS servera kritisko “worable” ievainojamību
Korporācija Microsoft ir paziņojusi par jaunu ielāpu, kas novērš Windows DNS servera kritisko ievainojamību, kas ir klasificēta kā “worable” ievainojamība un kuras CVSS bāzes vērtējums ir 10.0.
Wormable ievainojamības var izplatīties ar ļaunprātīgu programmatūru starp neaizsargātiem datoriem bez lietotāja iejaukšanās. Windows DNS serveris ir galvenais tīkla komponents. Lai gan pašlaik nav zināms, ka šī ievainojamība tiktu izmantota aktīvos uzbrukumos, klientiem ir svarīgi lietot Windows atjauninājumus, lai pēc iespējas ātrāk novērstu šo ievainojamību.
Reklāma
Korporācija Microsoft apraksta šādu ievainojamību CVE-2020-1350.
Attālās koda izpildes ievainojamība pastāv Windows domēna nosaukumu sistēmas serveros, kad tie nespēj pareizi apstrādāt pieprasījumus. Uzbrucējs, kurš veiksmīgi izmantoja ievainojamību, vietējā sistēmas konta kontekstā var palaist patvaļīgu kodu. Šī ievainojamība apdraud Windows serverus, kas ir konfigurēti kā DNS serveri.
Lai izmantotu ievainojamību, neautentificēts uzbrucējs var nosūtīt ļaunprātīgus pieprasījumus uz Windows DNS serveri.
Atjauninājums novērš ievainojamību, mainot veidu, kā Windows DNS serveri apstrādā pieprasījumus.
Klientiem, kuriem ir ieslēgti automātiskie atjauninājumi, nav jāveic nekādas papildu darbības, norāda Microsoft. The uzskaitīti ielāpi to izlabos pēc instalēšanas.
Ja atjauninājums nav pieejams, tas ir iespējams mazināt ievainojamība ar reģistra uzlabojumu.
Lai apietu šo ievainojamību,
Veiciet šādas izmaiņas reģistrā, lai ierobežotu lielākās atļautās ienākošās TCP DNS atbildes paketes lielumu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Vērtība = 0xFF00
Piezīme Lai reģistra izmaiņas stātos spēkā, ir jārestartē DNS pakalpojums.
- Noklusējuma (arī maksimālā) vērtība =
0xFFFF - Ieteicamā vērtība =
0xFF00(par 255 baitiem mazāks par maksimālo)
Pēc risinājuma ieviešanas Windows DNS serveris nevarēs atrisināt DNS nosaukumus saviem klientiem, ja DNS atbilde no augšpus servera ir lielāka par 65 280 baitiem.