Критическая уязвимость в DNS-серверах Windows: что делать?

В Microsoft DNS сервере и, соответственно, в организациях с Active Directory обнаружена серьезная уязвимость, позволяющая злоумышленнику выполнить любой код в системе через переполнение памяти. 

Уязвимость RCE (remote code execution) обнаружена исследователями Check Point и относится ко всем Windows Server, начиная с 2003 года. Она получила номер CVE-2020-1350 и имеет критичность 10.0, а также является червеобразной.

Рекомендации Angara Professional Assistance

На сегодняшний день доступен патч. Однако для более быстрого блокирования уязвимости рекомендуется выполнить следующую команду:

1. reg add «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters» /v «TcpReceivePacketSize» /t REG_DWORD /d 0xFF00 /f 

2. net stop DNS && net start DNS

Чтобы снизить риски до установки патча, можно воспользоваться следующей командой:

1. dnscmd /config /EnableVersionQuery 0

Если вы мониторите DNS запросы в центре мониторинга, то рекомендуем включить детектирование SIG record queries, так как именно механизм SIG парсера оказался уязвим к атаке переполнения памяти (независимо от протокола доставки – и TCP, и UDP, и DOH).