Spoločnosť Microsoft opravila kritickú „červovú“ zraniteľnosť v serveri Windows DNS Server
Spoločnosť Microsoft oznámila novú opravu, ktorá rieši kritickú zraniteľnosť v serveri Windows DNS Server, ktorá je klasifikovaná ako „odporovateľná“ zraniteľnosť a má základné skóre CVSS 10.0.
Zraniteľnosti červov majú potenciál šíriť sa prostredníctvom malvéru medzi zraniteľnými počítačmi bez interakcie používateľa. Windows DNS Server je základný sieťový komponent. Aj keď v súčasnosti nie je známe, že by sa táto zraniteľnosť používala pri aktívnych útokoch, je nevyhnutné, aby zákazníci čo najskôr aplikovali aktualizácie systému Windows na odstránenie tejto zraniteľnosti.
Opravená zraniteľnosť, CVE-2020-1350, je opísaná spoločnosťou Microsoft nasledovne.
V serveroch systému Windows Domain Name System existuje chyba zabezpečenia v prípade, že servery nedokážu správne spracovať požiadavky. Útočník, ktorý by úspešne zneužil túto chybu zabezpečenia, by mohol spustiť ľubovoľný kód v kontexte lokálneho systémového účtu. Servery Windows, ktoré sú nakonfigurované ako servery DNS, sú ohrozené touto chybou zabezpečenia.
Na zneužitie tejto zraniteľnosti by neoverený útočník mohol odoslať škodlivé požiadavky na server DNS systému Windows.
Aktualizácia rieši túto zraniteľnosť úpravou spôsobu, akým servery DNS systému Windows spracúvajú požiadavky.
Zákazníci so zapnutými automatickými aktualizáciami nemusia robiť žiadne ďalšie kroky, hovorí Microsoft. The uvedené záplaty opraví to pri inštalácii.
Ak aktualizácia nie je dostupná, je to možné zmierniť zraniteľnosť pomocou vylepšenia databázy Registry.
Ak chcete túto zraniteľnosť obísť,
Vykonajte nasledujúcu zmenu registra, aby ste obmedzili veľkosť najväčšieho povoleného prichádzajúceho paketu odpovedí DNS založeného na TCP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Hodnota = 0xFF00
Poznámka Aby sa zmena databázy Registry prejavila, musíte reštartovať službu DNS.
- Predvolená (aj maximálna) hodnota =
0xFFFF - Odporúčaná hodnota =
0xFF00(255 bajtov menej ako maximum)
Po implementácii tohto riešenia nebude server DNS systému Windows schopný rozlíšiť názvy DNS pre svojich klientov, ak je odpoveď DNS z nadradeného servera väčšia ako 65 280 bajtov.