Критическая уязвимость в DNS-серверах Windows: что делать?

Критическая уязвимость в DNS-серверах Windows: что делать?
d76dd470b5c7d02462975812901f508b.jpg

В Microsoft DNS сервере и, соответственно, в организациях с Active Directory обнаружена серьезная уязвимость, позволяющая злоумышленнику выполнить любой код в системе через переполнение памяти.
Уязвимость RCE (remote code execution) обнаружена исследователями Check Point и относится ко всем Windows Server, начиная с 2003 года. Она получила номер CVE-2020-1350 и имеет критичность 10.0, а также является червеобразной.
Рекомендации Angara Professional Assistance
На сегодняшний день доступен патч. Однако для более быстрого блокирования уязвимости рекомендуется выполнить следующую команду:
1.   reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters» /v «TcpReceivePacketSize» /t REG_DWORD /d 0xFF00 /f
2.   net stop DNS && net start DNS
Чтобы снизить риски до установки патча, можно воспользоваться следующей командой:
1.   dnscmd /config /EnableVersionQuery 0
Если вы мониторите DNS запросы в центре мониторинга, то рекомендуем включить детектирование SIG record queries, так как именно механизм SIG парсера оказался уязвим к атаке переполнения памяти (независимо от протокола доставки – и TCP, и UDP, и DOH).
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group