Microsoft heeft een kritieke 'wormbare' kwetsbaarheid in Windows DNS Server gepatcht
Microsoft heeft een nieuwe patch aangekondigd die een kritieke kwetsbaarheid in Windows DNS Server oplost die is geclassificeerd als een ‘wormable’ kwetsbaarheid en een CVSS-basisscore heeft van 10.0.
Wormbare kwetsbaarheden kunnen zich via malware verspreiden tussen kwetsbare computers zonder tussenkomst van de gebruiker. Windows DNS Server is een kernnetwerkcomponent. Hoewel het momenteel niet bekend is dat dit beveiligingslek wordt gebruikt bij actieve aanvallen, is het van essentieel belang dat klanten Windows-updates toepassen om dit beveiligingslek zo snel mogelijk te verhelpen.
De gepatchte kwetsbaarheid, CVE-2020-1350, wordt door Microsoft als volgt beschreven.
Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code op Windows Domain Name System-servers wanneer deze verzoeken niet correct kunnen verwerken. Een aanvaller die het beveiligingslek weet te misbruiken, kan willekeurige code uitvoeren in de context van de lokale systeemaccount. Windows-servers die zijn geconfigureerd als DNS-servers lopen risico door dit beveiligingslek.
Om het beveiligingslek te misbruiken, kan een niet-geverifieerde aanvaller kwaadaardige verzoeken naar een Windows DNS-server sturen.
De update lost het beveiligingslek op door de manier te wijzigen waarop Windows DNS-servers verzoeken verwerken.
Klanten waarbij automatische updates zijn ingeschakeld, hoeven geen extra actie te ondernemen, zegt Microsoft. De vermelde patches zal het repareren wanneer het is geïnstalleerd.
Als de update niet toegankelijk is, is het mogelijk om: verzachten de kwetsbaarheid met een register tweak.
Om dit beveiligingslek te omzeilen,
Breng de volgende registerwijziging aan om de grootte van het grootste toegestane inkomende op TCP gebaseerde DNS-antwoordpakket te beperken:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpPakketgrootte ontvangen
Waarde = 0xFF00
Opmerking U moet de DNS-service opnieuw starten om de registerwijziging door te voeren.
- De standaard (ook max) waarde =
0xFFFF - De aanbevolen waarde =
0xFF00(255 bytes minder dan de max)
Nadat de tijdelijke oplossing is geïmplementeerd, kan een Windows DNS-server geen DNS-namen voor zijn clients omzetten wanneer het DNS-antwoord van de upstream-server groter is dan 65280 bytes.