KB4569509: Guidance for DNS Server Vulnerability CVE-2020-1350

Einleitung

Am 14. Juli 2020 veröffentlichte Microsoft ein Sicherheitsupdate für das Problem, das in CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability beschrieben wird. Dieser Hinweis beschreibt eine kritische Sicherheitsanfälligkeit bei der Remotecodeausführung (RCE), die Windows-Server betrifft, die für die Ausführung der DNS-Serverrolle konfiguriert sind. Wir empfehlen Serveradministratoren dringend, das Sicherheitsupdate so schnell wie möglich zu installieren.

Zum Schutz eines betroffenen Windows-Servers kann ein registrierungsbasierter Workaround verwendet werden, der implementiert werden kann, ohne dass ein Administrator den Server neu starten muss. Aufgrund der Anfälligkeit dieser Sicherheitsanfälligkeit müssen Administratoren die Umgehungslösung möglicherweise vor der Anwendung des Sicherheitsupdates implementieren, damit sie ihre Systeme in einem Standard-Bereitstellungsrhythmus aktualisieren können.

Abhilfe

Optional: Laden Sie das Skript zur Problemumgehung von der GitHub Repository

Um diese Schwachstelle zu umgehen, nehmen Sie die folgende Registrierungsänderung vor, um die Größe des größten zulässigen eingehenden TCP-basierten DNS-Antwortpakets zu beschränken:

Unterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameter

Wert: TcpReceivePacketSize

Typ: DWORD

Wert Daten: 0xFF00

Anmerkungen:

Der Standardwert (auch Maximalwert) ist 0xFFFF.

Der empfohlene Wert data = 0xFF00 (255 Bytes weniger als der Höchstwert).

Sie müssen den DNS-Dienst neu starten, damit die Änderung der Registrierung wirksam wird. Führen Sie dazu den folgenden Befehl in einer erweiterten Eingabeaufforderung aus:

     ```net stop dns && net start dns```

Wichtige Informationen zu dieser Problemumgehung

TCP-basierte DNS-Antwortpakete, die den empfohlenen Wert überschreiten, werden ohne Fehler verworfen. Daher ist es möglich, dass einige Abfragen nicht beantwortet werden können. Dies könnte zu einem unvorhergesehenen Fehler führen. Ein DNS-Server wird durch diesen Workaround nur dann negativ beeinflusst, wenn er gültige TCP-Antworten empfängt, die größer sind als in der vorherigen Mitigation erlaubt (mehr als 65.280 Bytes).

Es ist unwahrscheinlich, dass sich der reduzierte Wert auf Standardimplementierungen oder rekursive Abfragen auswirkt. In einer bestimmten Umgebung kann es jedoch einen nicht standardmäßigen Anwendungsfall geben. Um festzustellen, ob die Serverimplementierung durch diese Umgehung beeinträchtigt wird, sollten Sie die Diagnoseprotokollierung aktivieren und einen Beispielsatz erfassen, der für Ihren typischen Geschäftsablauf repräsentativ ist. Anschließend müssen Sie die Protokolldateien überprüfen, um das Vorhandensein von anomal großen TCP-Antwortpaketen festzustellen

Für weitere Informationen siehe DNS Logging and Diagnostics