В Microsoft DNS сервере и, соответственно, в организациях с Active Directory обнаружена серьезная уязвимость, позволяющая злоумышленнику выполнить любой код в системе через переполнение памяти.
Уязвимость RCE (remote code execution) обнаружена исследователями Check Point и относится ко всем Windows Server, начиная с 2003 года. Она получила номер CVE-2020-1350 и имеет критичность 10.0, а также является червеобразной.
Рекомендации Angara Professional Assistance
На сегодняшний день доступен патч. Однако для более быстрого блокирования уязвимости рекомендуется выполнить следующую команду:
1. reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters» /v «TcpReceivePacketSize» /t REG_DWORD /d 0xFF00 /f
2. net stop DNS && net start DNS
Чтобы снизить риски до установки патча, можно воспользоваться следующей командой:
1. dnscmd /config /EnableVersionQuery 0
Если вы мониторите DNS запросы в центре мониторинга, то рекомендуем включить детектирование SIG record queries, так как именно механизм SIG парсера оказался уязвим к атаке переполнения памяти (независимо от протокола доставки – и TCP, и UDP, и DOH).
