Microsoft har korrigerat en kritisk "avmaskningsbar" sårbarhet i Windows DNS Server
Microsoft har tillkännagivit en ny patch som löser en kritisk sårbarhet i Windows DNS Server som klassificeras som en "avmaskningsbar" sårbarhet och har en CVSS-baspoäng på 10.0.
Avbrottsbara sårbarheter har potential att spridas via skadlig programvara mellan sårbara datorer utan användarinteraktion. Windows DNS Server är en central nätverkskomponent. Även om denna sårbarhet för närvarande inte är känd för att användas i aktiva attacker, är det viktigt att kunder tillämpar Windows-uppdateringar för att åtgärda denna sårbarhet så snart som möjligt.
Den korrigerade sårbarheten, CVE-2020-1350, beskrivs av Microsoft enligt följande.
En sårbarhet för fjärrkörning av kod finns på Windows Domain Name System-servrar när de inte hanterar förfrågningar korrekt. En angripare som lyckades utnyttja sårbarheten kan köra godtycklig kod i sammanhanget med det lokala systemkontot. Windows-servrar som är konfigurerade som DNS-servrar är i riskzonen från denna sårbarhet.
För att utnyttja sårbarheten kan en oautentiserad angripare skicka skadliga förfrågningar till en Windows DNS-server.
Uppdateringen åtgärdar sårbarheten genom att ändra hur Windows DNS-servrar hanterar förfrågningar.
Kunder med automatiska uppdateringar aktiverade behöver inte vidta några ytterligare åtgärder, säger Microsoft. De listade patchar fixar det när det är installerat.
Om uppdateringen inte är tillgänglig är det möjligt att mildra sårbarheten med en registerjustering.
För att kringgå denna sårbarhet,
Gör följande registerändring för att begränsa storleken på det största tillåtna inkommande TCP-baserade DNS-svarspaketet:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Värde = 0xFF00
Notera Du måste starta om DNS-tjänsten för att registerändringen ska träda i kraft.
- Standardvärde (även max) =
0xFFFF - Det rekommenderade värdet =
0xFF00(255 byte mindre än max)
Efter att lösningen har implementerats kommer en Windows DNS-server inte att kunna lösa DNS-namn för sina klienter när DNS-svaret från uppströmsservern är större än 65280 byte.
