A Microsoft corrigiu uma vulnerabilidade crítica de ‘wormable’ no Windows DNS Server
A Microsoft anunciou um novo patch que resolve uma vulnerabilidade crítica no Windows DNS Server que é classificada como uma vulnerabilidade ‘wormable’ e tem uma pontuação básica de CVSS de 10.0.
Vulnerabilidades wormable têm o potencial de se espalhar por meio de malware entre computadores vulneráveis sem interação do usuário. O Windows DNS Server é um componente central de rede. Embora essa vulnerabilidade não seja usada atualmente em ataques ativos, é essencial que os clientes apliquem as atualizações do Windows para corrigir essa vulnerabilidade o mais rápido possível.
A vulnerabilidade corrigida, CVE-2020-1350, é descrita pela Microsoft a seguir.
Existe uma vulnerabilidade de execução remota de código nos servidores do Sistema de Nome de Domínio do Windows quando eles não conseguem lidar com as solicitações de maneira adequada. Um invasor que explorar com êxito a vulnerabilidade pode executar código arbitrário no contexto da conta do sistema local. Os servidores Windows configurados como servidores DNS correm risco com essa vulnerabilidade.
Para explorar a vulnerabilidade, um invasor não autenticado pode enviar solicitações mal-intencionadas a um servidor DNS do Windows.
A atualização elimina a vulnerabilidade, modificando como os servidores DNS do Windows lidam com as solicitações.
Os clientes com atualizações automáticas ativadas não precisam realizar nenhuma ação adicional, diz a Microsoft. o patches listados irá consertá-lo quando instalado.
Se a atualização não estiver acessível, é possível mitigar a vulnerabilidade com um ajuste do Registro.
Para contornar essa vulnerabilidade,
Faça a seguinte alteração no registro para restringir o tamanho do maior pacote de resposta DNS baseado em TCP de entrada permitido:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters
TcpReceivePacketSize
Valor = 0xFF00
Observação Você deve reiniciar o serviço DNS para que a alteração do registro tenha efeito.
- O valor padrão (também máximo) =
0xFFFF - O valor recomendado =
0xFF00(255 bytes a menos que o máximo)
Depois que a solução alternativa for implementada, um servidor DNS do Windows não conseguirá resolver os nomes DNS de seus clientes quando a resposta DNS do servidor upstream for maior que 65280 bytes.