KB4569509: Guidance for DNS Server Vulnerability CVE-2020-1350

Introducere

La 14 iulie 2020, Microsoft a lansat o actualizare de securitate pentru problema descrisă în CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability. Acest aviz descrie o vulnerabilitate critică de executare a codului de la distanță (RCE) care afectează serverele Windows care sunt configurate să ruleze rolul DNS Server. Recomandăm cu tărie administratorilor de servere să aplice actualizarea de securitate cât mai curând posibil.

Pentru a proteja un server Windows afectat, se poate utiliza o soluție de remediere bazată pe registru, care poate fi implementată fără a fi nevoie ca administratorul să repornească serverul. Din cauza volatilității acestei vulnerabilități, este posibil ca administratorii să fie nevoiți să implementeze soluția de rezolvare înainte de a aplica actualizarea de securitate pentru a le permite să își actualizeze sistemele utilizând o cadență standard de implementare.

Soluție de rezolvare

Opțional: Descărcați scriptul de rezolvare de la adresa GitHub Repository

Pentru a rezolva această vulnerabilitate, efectuați următoarea modificare în registru pentru a restricționa dimensiunea celui mai mare pachet de răspuns DNS de intrare pe bază de TCP care este permis:

Subcheie: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Valoare: TcpReceivePacketSize

Type: DWORD

Date de valoare: 0xFF00

Note:

Valoarea implicită (și maximă) a datelor de valoare = 0xFFFF.

Valoarea recomandată a datelor de valoare = 0xFF00 (cu 255 de octeți mai puțin decât valoarea maximă).

Trebuie să reporniți serviciul DNS pentru ca modificarea din registru să intre în vigoare. Pentru a face acest lucru, rulați următoarea comandă de la un prompt de comandă ridicat:

     ```net stop dns && net start dns```

Informații importante despre această soluție de rezolvare

Pachetele de răspuns DNS bazate pe TCP care depășesc valoarea recomandată vor fi abandonate fără eroare. Prin urmare, este posibil ca unele interogări să nu primească răspuns. Acest lucru ar putea cauza un eșec neașteptat. Un server DNS va fi afectat în mod negativ de această soluție de remediere numai dacă primește răspunsuri TCP valide care sunt mai mari decât cele permise în atenuarea anterioară (mai mult de 65.280 de octeți).

Este puțin probabil ca valoarea redusă să afecteze implementările standard sau interogările recursive. Cu toate acestea, este posibil să existe un caz de utilizare non-standard într-un anumit mediu. Pentru a determina dacă implementarea serverului va fi afectată în mod negativ de această soluție de remediere, trebuie să activați jurnalizarea de diagnosticare și să capturați un set de mostre reprezentativ pentru fluxul tipic al activității dumneavoastră. Apoi, va trebui să analizați fișierele jurnal pentru a identifica prezența pachetelor de răspuns TCP de dimensiuni anormale

Pentru mai multe informații, consultați DNS Logging and Diagnostics