Microsoft, Windows DNS Sunucusunda kritik bir "kurtulabilir" güvenlik açığını düzeltti

Microsoft, Windows DNS Sunucusunda 'kurtulabilir' bir güvenlik açığı olarak sınıflandırılan ve CVSS taban puanına sahip kritik bir güvenlik açığını çözen yeni bir yama duyurdu. 10.0.

Kurtulabilir güvenlik açıkları, kullanıcı etkileşimi olmadan kötü amaçlı yazılımlar aracılığıyla savunmasız bilgisayarlar arasında yayılma potansiyeline sahiptir. Windows DNS Sunucusu, bir çekirdek ağ bileşenidir. Bu güvenlik açığının şu anda etkin saldırılarda kullanıldığı bilinmemekle birlikte, müşterilerin bu güvenlik açığını en kısa sürede gidermek için Windows güncellemelerini uygulamaları önemlidir.

Yamalı güvenlik açığı, CVE-2020-1350, Microsoft tarafından şu şekilde açıklanmaktadır.

Windows Etki Alanı Adı Sistemi sunucuları, istekleri düzgün bir şekilde işleyemediğinde bir uzaktan kod yürütme güvenlik açığı bulunmaktadır. Güvenlik açığından başarıyla yararlanan bir saldırgan, Yerel Sistem Hesabı bağlamında rasgele kod çalıştırabilir. DNS sunucuları olarak yapılandırılan Windows sunucuları bu güvenlik açığından etkilenir.

Kimliği doğrulanmamış bir saldırgan, güvenlik açığından yararlanmak için bir Windows DNS sunucusuna kötü amaçlı istekler gönderebilir.

Güncelleştirme, Windows DNS sunucularının istekleri işleme biçimini değiştirerek bu güvenlik açığını giderir.

Microsoft, otomatik güncellemeleri açık olan müşterilerin herhangi bir ek işlem yapmasına gerek olmadığını söylüyor. NS listelenen yamalar kurulduğunda düzeltecektir.

Güncellemeye erişilemiyorsa, hafifletmek Bir Registry tweak ile güvenlik açığı.

Bu güvenlik açığına geçici bir çözüm bulmak için,

İzin verilen en büyük gelen TCP tabanlı DNS yanıt paketinin boyutunu kısıtlamak için aşağıdaki kayıt defteri değişikliğini yapın:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

TcpAlınPaketBoyutu

Değer = 0xFF00

Not Kayıt defteri değişikliğinin etkili olması için DNS Hizmetini yeniden başlatmanız gerekir.

• Varsayılan (ayrıca maksimum) Değer = 0xFFFF
• Önerilen Değer = 0xFF00 (maks. 255 bayttan daha az)

Geçici çözüm uygulandıktan sonra, yukarı akış sunucusundan gelen DNS yanıtı 65280 bayttan büyük olduğunda, bir Windows DNS sunucusu istemcileri için DNS adlarını çözemez.