KB4569509: Guidance for DNS Server Vulnerability CVE-2020-1350

Introduzione

Il 14 luglio 2020, Microsoft ha rilasciato un aggiornamento di sicurezza per il problema descritto in CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability. Questo avviso descrive una vulnerabilità critica di tipo RCE (Remote Code Execution) che interessa i server Windows configurati per eseguire il ruolo DNS Server. Si consiglia vivamente agli amministratori dei server di applicare l’aggiornamento di sicurezza al più presto.

Per proteggere i server Windows interessati è possibile utilizzare un workaround basato sul registro di sistema, che può essere implementato senza richiedere il riavvio del server da parte dell’amministratore. A causa della volatilità di questa vulnerabilità, è possibile che gli amministratori debbano implementare il workaround prima di applicare l’aggiornamento di sicurezza, in modo da poter aggiornare i sistemi utilizzando una cadenza di distribuzione standard.

Soluzione

**Scarica lo script del workaround dal sito GitHub Repository

Per ovviare a questa vulnerabilità, modificate il seguente registro di sistema per limitare le dimensioni del pacchetto di risposta DNS in entrata basato su TCP più grande consentito:

Sottochiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Valore: TcpReceivePacketSize

Tipo: DWORD

Valore dati: 0xFF00

Note:

Il valore predefinito (anche massimo) = 0xFFFF.

Valore consigliato = 0xFF00 (255 byte in meno del massimo).

È necessario riavviare il servizio DNS affinché la modifica del registro diventi effettiva. A tale scopo, eseguire il seguente comando da un prompt dei comandi elevato:

     ```net stop dns && net start dns```

Informazioni importanti su questa soluzione

I pacchetti di risposta DNS basati su TCP che superano il valore consigliato saranno eliminati senza errori. Pertanto, è possibile che alcune query non ricevano risposta. Ciò potrebbe causare un guasto imprevisto. Un server DNS sarà influenzato negativamente da questo workaround solo se riceve risposte TCP valide superiori a quelle consentite dalla precedente mitigazione (più di 65.280 byte).

È improbabile che il valore ridotto influisca sulle distribuzioni standard o sulle query ricorsive. Tuttavia, in un determinato ambiente potrebbe esistere un caso d’uso non standard. Per determinare se l’implementazione del server sarà influenzata negativamente da questo workaround, è necessario attivare la registrazione diagnostica e acquisire un set di campioni rappresentativo del flusso aziendale tipico. Successivamente, si dovranno esaminare i file di registro per identificare la presenza di pacchetti di risposta TCP di dimensioni anomale.

Per ulteriori informazioni, vedere DNS Logging and Diagnostics