KB4569509: Guidance for DNS Server Vulnerability CVE-2020-1350

Wprowadzenie

W dniu 14 lipca 2020 r. firma Microsoft wydała aktualizację zabezpieczeń dla błędu opisanego w CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability. Ten poradnik opisuje krytyczną podatność na zdalne wykonanie kodu (RCE), która dotyczy serwerów Windows skonfigurowanych do uruchamiania roli serwera DNS. Zdecydowanie zalecamy, aby administratorzy serwerów jak najszybciej zastosowali aktualizację zabezpieczeń.

Obejście oparte na rejestrze może być wykorzystane do ochrony zagrożonego serwera Windows i może być zaimplementowane bez konieczności ponownego uruchamiania serwera przez administratora. Ze względu na zmienność tej luki, administratorzy mogą być zmuszeni do wdrożenia obejścia przed zastosowaniem aktualizacji zabezpieczeń, aby umożliwić im aktualizację systemów przy użyciu standardowego harmonogramu wdrażania.

Obejście

Opcjonalnie: Pobierz skrypt obejścia ze strony GitHub Repository

Aby obejść tę lukę, należy wprowadzić następującą zmianę w rejestrze, aby ograniczyć rozmiar największego dozwolonego przychodzącego pakietu odpowiedzi DNS opartego na protokole TCP:

Podklucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Wartość: TcpReceivePacketSize

Typ: DWORD

Dane wartości: 0xFF00

Uwagi:

Domyślna (również maksymalna) wartość danych = 0xFFFF.

Zalecana wartość Value data = 0xFF00 (255 bajtów mniej niż wartość maksymalna).

Aby zmiana rejestru odniosła skutek, należy ponownie uruchomić usługę DNS. W tym celu należy uruchomić następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień:

     ```net stop dns && net start dns```

Ważne informacje o tym obejściu

Pakiety odpowiedzi DNS oparte na protokole TCP, które przekroczą zalecaną wartość, zostaną odrzucone bez błędu. Dlatego możliwe jest, że niektóre zapytania nie zostaną odebrane. Może to spowodować nieoczekiwaną awarię. Serwer DNS będzie miał negatywny wpływ na to obejście tylko wtedy, gdy otrzyma prawidłowe odpowiedzi TCP, które są większe niż dozwolone w poprzednim ograniczeniu (ponad 65 280 bajtów).

Zmniejszona wartość prawdopodobnie nie wpłynie na standardowe wdrożenia lub zapytania rekurencyjne. Jednak w danym środowisku może istnieć niestandardowy przypadek użycia. Aby określić, czy to obejście będzie miało negatywny wpływ na implementację serwera, należy włączyć rejestrowanie diagnostyczne i przechwycić przykładowy zestaw reprezentatywny dla typowego przepływu biznesowego. Następnie należy przejrzeć pliki dziennika, aby zidentyfikować obecność anomalnie dużych pakietów odpowiedzi TCP

Aby uzyskać więcej informacji, zobacz DNS Logging and Diagnostics