CVE-2020-1350: уязвимость в DNS-серверах под Windows

[KL FC Bot 157]

Компания Microsoft сообщила об уязвимости CVE-2020-1350 в DNS-сервере Windows. Что плохо: уязвимость получила оценку в 10 баллов по шкале CVSS, то есть рейтинг «критическая». Что хорошо: злоумышленники могут использовать эту уязвимость, только если система работает в режиме DNS-сервера, то есть число потенциально подверженных машин невелико. К тому же компания уже выпустила заплатки и опубликовала обходное решение.

Что это за уязвимость и чем она опасна?

Уязвимость CVE-2020-1350 позволяет заставить DNS-серверы, работающие под управлением Windows Server, удаленно выполнить вредоносный код. Иными словами, она относится к классу RCE. Для того чтобы проэксплуатировать уязвимость, злоумышленникам достаточно послать DNS-серверу специальным образом сгенерированный запрос.

Посторонний код будет исполняться в контексте учетной записи Local System Account. Эта запись имеет обширные привилегии на локальном компьютере, а в сети действует как компьютер. К тому же Local System Account не распознается подсистемой обеспечения безопасности. По словам Microsoft, основная опасность уязвимости заключается в том, что она может быть использована для распространения угрозы по локальной сети, то есть классифицируется как Wormable.

Кто в зоне риска из-за CVE-2020-1350?

Уязвимы все версии Windows Server, но только если они работают в режиме DNS-сервера. Если в вашей компании нет DNS-сервера или же используется DNS-сервер на базе другой операционной системы, то вам волноваться не о чем.

К счастью, уязвимость была обнаружена исследователями из Check Point Research, и подробной информации о том, как ее можно эксплуатировать, в открытом доступе пока нет. Кроме того, на данный момент нет и никаких свидетельств того, что CVE-2020-1350 когда-либо эксплуатировали злоумышленники.

Однако весьма вероятно, что сразу после того, как Microsoft опубликовала инструкции по обновлению системы, злоумышленники начали внимательно изучать DNS-серверы и патчи и пытаться определить, как же эту уязвимость можно проэксплуатировать. Поэтому с установкой заплатки лучше не тянуть.

Что делать?

Лучше всего — установить патч, который модифицирует метод обработки запросов DNS-серверами Windows. Заплатка доступна для систем семейств Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, а также Windows Server version 1903, Windows Server version 1909 и Windows Server version 2004. Скачать ее можно на странице с объяснением этой уязвимости.

Однако поскольку в некоторых крупных компаниях существуют внутренние правила и установленный ритм обновления программного обеспечения, некоторые администраторы могут не иметь возможности установить патч немедленно. Чтобы их DNS-серверы не остались под угрозой, компания также предложила обходной путь. Он заключается во внесении следующих правок в системный реестр:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

После сохранения изменений сервер следует перезапустить. Однако этот обходной путь может потенциально приводить к некорректной работе сервера в тех редких случаях, когда сервер получит TCP-пакет размером более 65280 байт. Так что, когда патч все-таки будет установлен, Microsoft рекомендует удалить переменную TcpReceivePacketSize вместе с ее значением и вернуть запись реестра к исходному состоянию.

Мы же со своей стороны хотим напомнить, что работающий в вашей инфраструктуре DNS-сервер — точно такой же компьютер, как и все остальные. В них точно также находят уязвимости, которые злоумышленники могут эксплуатировать. Поэтому, как и любые другие конечные точки в сети, его нужно защищать при помощи надежных решений, таких как Kaspersky Security для бизнеса.

View the full article