Microsoft załatał krytyczną „robakowatą” lukę w Windows DNS Server
Firma Microsoft ogłosiła nową poprawkę, która usuwa krytyczną lukę w systemie Windows DNS Server, która jest sklasyfikowana jako podatność na robaki i ma bazowy wynik CVSS wynoszący 10.0.
Luki w zabezpieczeniach zawierające robaki mogą rozprzestrzeniać się za pośrednictwem złośliwego oprogramowania między podatnymi komputerami bez interakcji użytkownika. Windows DNS Server jest podstawowym składnikiem sieci. Chociaż obecnie nie wiadomo, czy ta luka jest wykorzystywana w aktywnych atakach, ważne jest, aby klienci jak najszybciej zastosowali aktualizacje systemu Windows w celu usunięcia tej luki.
Załatana luka, CVE-2020-1350, została opisana przez Microsoft w następujący sposób.
Na serwerach systemu nazw domen Windows występuje luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu, gdy nie obsługują one poprawnie żądań. Osoba atakująca, której uda się wykorzystać tę lukę, może uruchomić dowolny kod w kontekście konta systemu lokalnego. Na skutki tej luki narażone są serwery Windows skonfigurowane jako serwery DNS.
Aby wykorzystać tę lukę, nieuwierzytelniony atakujący może wysyłać złośliwe żądania do serwera DNS systemu Windows.
Aktualizacja usuwa lukę, modyfikując sposób obsługi żądań przez serwery DNS systemu Windows.
Klienci z włączonymi aktualizacjami automatycznymi nie muszą podejmować żadnych dodatkowych działań, mówi Microsoft. ten wymienione łatki naprawi to po zainstalowaniu.
Jeśli aktualizacja nie jest dostępna, można: łagodzić luka z poprawką rejestru.
Aby obejść tę lukę,
Wprowadź następującą zmianę w rejestrze, aby ograniczyć rozmiar największego dozwolonego przychodzącego pakietu odpowiedzi DNS opartego na protokole TCP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Wartość = 0xFF00
Notatka Aby zmiana w rejestrze zaczęła obowiązywać, należy ponownie uruchomić usługę DNS.
- Wartość domyślna (również maksymalna) =
0xFFFF - Zalecana wartość =
0xFF00(255 bajtów mniej niż maksimum)
Po wdrożeniu obejścia serwer DNS systemu Windows nie będzie w stanie rozpoznać nazw DNS dla swoich klientów, jeśli odpowiedź DNS z serwera nadrzędnego jest większa niż 65280 bajtów.
