Мицрософт је закрпио критичну рањивост „црвљива“ на Виндовс ДНС серверу
Мицрософт је најавио нову закрпу која решава критичну рањивост у Виндовс ДНС серверу која је класификована као рањивост која се може црвити и има ЦВСС основни резултат од 10.0.
Рањивости које могу да се пропусте имају потенцијал да се шире преко малвера између рањивих рачунара без интеракције корисника. Виндовс ДНС сервер је основна мрежна компонента. Иако се тренутно не зна да се ова рањивост користи у активним нападима, од суштинског је значаја да корисници примене Виндовс ажурирања да би решили ову рањивост што је пре могуће.
Реклама
Закрпљену рањивост, ЦВЕ-2020-1350, Мицрософт описује на следећи начин.
Рањивост даљинског извршавања кода постоји на серверима Виндовс система имена домена када не успеју да правилно обрађују захтеве. Нападач који је успешно искористио рањивост могао би да покрене произвољни код у контексту налога локалног система. Виндовс сервери који су конфигурисани као ДНС сервери су у опасности од ове рањивости.
Да би искористио рањивост, нападач без аутентификације могао би да пошаље злонамерне захтеве Виндовс ДНС серверу.
Ажурирање решава рањивост тако што мења начин на који Виндовс ДНС сервери рукују захтевима.
Клијенти са укљученим аутоматским ажурирањима не морају да предузимају никакве додатне радње, каже Мицрософт. Тхе наведене закрпе поправиће га када се инсталира.
Ако ажурирање није доступно, могуће је ублажити рањивост са подешавањем Регистра.
Да бисте заобишли ову рањивост,
Направите следећу промену регистратора да бисте ограничили величину највећег улазног ДНС пакета одговора заснованог на ТЦП-у:
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ\СИСТЕМ\ЦуррентЦонтролСет\Сервицес\ДНС\Параметерс
ТцпРецеивеПацкетСизе
Вредност = 0кФФ00
Белешка Морате поново покренути ДНС услугу да би промена регистра ступила на снагу.
- Подразумевана (такође максимална) вредност =
0кФФФФ
- Препоручена вредност =
0кФФ00
(255 бајтова мање од максимума)
Након што се заобилазно решење имплементира, Виндовс ДНС сервер неће моћи да разреши ДНС имена за своје клијенте када је ДНС одговор са узводног сервера већи од 65280 бајтова.