Microsoft je popravil kritično ranljivost, ki jo je mogoče črviti, v strežniku Windows DNS

Microsoft je objavil nov popravek, ki odpravlja kritično ranljivost v strežniku Windows DNS, ki je razvrščena kot ranljivost, ki jo je mogoče črviti, in ima osnovno oceno CVSS 10.0.

Ranljivosti, ki jih je mogoče črviti, se lahko širijo prek zlonamerne programske opreme med ranljivimi računalniki brez interakcije z uporabnikom. Windows DNS Server je osrednja omrežna komponenta. Čeprav trenutno ni znano, da bi se ta ranljivost uporabljala pri aktivnih napadih, je bistveno, da stranke uporabijo posodobitve sistema Windows za odpravo te ranljivosti čim prej.

Popravljeno ranljivost, CVE-2020-1350, Microsoft opisuje takole.

V strežnikih sistema Windows Domain Name System obstaja ranljivost pri izvajanju kode na daljavo, če ne uspejo pravilno obravnavati zahtev. Napadalec, ki je uspešno izkoristil ranljivost, bi lahko zagnal poljubno kodo v kontekstu lokalnega sistemskega računa. Strežniki Windows, ki so konfigurirani kot strežniki DNS, so ogroženi zaradi te ranljivosti.

Da bi izkoristil ranljivost, lahko napadalec brez preverjanja pristnosti pošlje zlonamerne zahteve strežniku Windows DNS.

Posodobitev odpravlja ranljivost s spreminjanjem načina, kako strežniki Windows DNS obravnavajo zahteve.

Strankam z vklopljenimi samodejnimi posodobitvami ni treba ukrepati, pravi Microsoft. The navedene popravke bo popravil, ko bo nameščen.

Če posodobitev ni dostopna, je to mogoče ublažiti ranljivost s prilagoditvijo registra.

Da bi zaobšli to ranljivost,

Izvedite naslednjo spremembo registra, da omejite velikost največjega dovoljenega dohodnega odzivnega paketa DNS, ki temelji na TCP:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

TcpReceivePacketSize

Vrednost = 0xFF00

Opomba Da bo sprememba registra začela veljati, morate znova zagnati storitev DNS.

• Privzeta (tudi največja) vrednost = 0xFFFF
• Priporočena vrednost = 0xFF00 (255 bajtov manj od največjega)

Ko bo rešitev uvedena, strežnik DNS Windows ne bo mogel razrešiti imen DNS za svoje odjemalce, če bo odgovor DNS iz zgornjega strežnika večji od 65280 bajtov.