Корпорация Майкрософт устранила критическую уязвимость «червяков» в Windows DNS Server.

Microsoft анонсировала новый патч, который устраняет критическую уязвимость в Windows DNS Server, которая классифицируется как уязвимость, подверженная червю, и имеет базовую оценку CVSS, равную 10.0.

Уязвимости червя могут распространяться через вредоносное ПО между уязвимыми компьютерами без вмешательства пользователя. DNS-сервер Windows - это основной сетевой компонент. Хотя в настоящее время неизвестно об использовании этой уязвимости в активных атаках, важно, чтобы клиенты как можно скорее применили обновления Windows для устранения этой уязвимости.

Исправленная уязвимость CVE-2020-1350 описана Microsoft следующим образом.

Уязвимость удаленного выполнения кода существует на серверах системы доменных имен Windows, когда они не могут должным образом обрабатывать запросы. Злоумышленник, успешно воспользовавшийся уязвимостью, может запустить произвольный код в контексте локальной системной учетной записи. Серверы Windows, настроенные как DNS-серверы, подвержены риску этой уязвимости.

Чтобы воспользоваться этой уязвимостью, злоумышленник, не прошедший проверку подлинности, может отправить злонамеренные запросы на DNS-сервер Windows.

Обновление устраняет уязвимость, изменяя способ обработки запросов DNS-серверами Windows.

По словам Microsoft, клиентам, у которых включено автоматическое обновление, не нужно предпринимать никаких дополнительных действий. В перечисленные патчи исправлю при установке.

Если обновление недоступно, можно смягчать уязвимость с настройкой реестра.

Чтобы обойти эту уязвимость,

Внесите следующие изменения в реестр, чтобы ограничить размер самого большого разрешенного входящего пакета ответа DNS на основе TCP:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters

TcpReceivePacketSize

Значение = 0xFF00

Примечание Чтобы изменения в реестре вступили в силу, необходимо перезапустить службу DNS.

• Значение по умолчанию (также максимальное) = 0xFFFF
• Рекомендуемое значение = 0xFF00 (На 255 байт меньше максимального)

После реализации обходного пути DNS-сервер Windows не сможет разрешать DNS-имена для своих клиентов, если DNS-ответ от вышестоящего сервера превышает 65280 байт.