Корпорація Майкрософт виправила критичну «червячу» вразливість у Windows DNS Server

Корпорація Майкрософт оголосила про новий виправлення, яке усуває критичну вразливість у DNS-сервері Windows, яка класифікується як уразливість, що піддається червиву, і має базову оцінку CVSS. 10.0.

Уразливості, що загрожують, можуть поширюватися через шкідливе програмне забезпечення між вразливими комп’ютерами без взаємодії з користувачем. Windows DNS Server є основним мережевим компонентом. Хоча наразі відомо, що ця вразливість не використовується в активних атаках, важливо, щоб клієнти якомога швидше застосували оновлення Windows, щоб усунути цю вразливість.

Microsoft описує виправлену вразливість CVE-2020-1350 так.

Уразливість віддаленого виконання коду існує на серверах системи доменних імен Windows, коли вони не можуть належним чином обробляти запити. Зловмисник, який успішно скористався вразливістю, міг запустити довільний код у контексті облікового запису локальної системи. Сервери Windows, налаштовані як DNS-сервери, піддаються ризику через цю вразливість.

Щоб скористатися цією вразливістю, неавтентифікований зловмисник може надіслати шкідливі запити на DNS-сервер Windows.

Оновлення усуває вразливість, змінюючи спосіб обробки запитів серверами Windows DNS.

Клієнтам з увімкненими автоматичними оновленнями не потрібно робити ніяких додаткових дій, каже Microsoft. The перераховані патчі виправить це після встановлення.

Якщо оновлення недоступне, це можливо пом'якшити вразливість за допомогою налаштування реєстру.

Щоб обійти цю вразливість,

Зробіть таку зміну реєстру, щоб обмежити розмір найбільшого дозволеного вхідного пакету відповіді DNS на основі TCP:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

TcpReceivePacketSize

Значення = 0xFF00

Примітка Щоб зміни реєстру набули чинності, необхідно перезапустити службу DNS.

• Значення за замовчуванням (також максимальне) = 0xFFFF
• Рекомендоване значення = 0xFF00 (на 255 байт менше, ніж максимально)

Після впровадження обхідного шляху DNS-сервер Windows не зможе розпізнавати імена DNS для своїх клієнтів, якщо відповідь DNS від вищестоящого сервера перевищує 65280 байт.