KB4569509: Guidance for DNS Server Vulnerability CVE-2020-1350

Introductie

Op 14 juli 2020 heeft Microsoft een beveiligingsupdate uitgebracht voor het probleem dat wordt beschreven in CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability (kwetsbaarheid voor externe code-executie). Deze advisory beschrijft een kritieke Remote Code Execution (RCE)-kwetsbaarheid die van invloed is op Windows-servers die zijn geconfigureerd om de DNS Server-rol uit te voeren. We raden serverbeheerders ten zeerste aan de beveiligingsupdate zo snel mogelijk uit te voeren.

Een op het register gebaseerde workaround kan worden gebruikt om een getroffen Windows-server te beschermen en kan worden geïmplementeerd zonder dat de beheerder de server opnieuw hoeft op te starten. Vanwege de veranderlijkheid van deze kwetsbaarheid moeten beheerders de workaround mogelijk implementeren voordat ze de beveiligingsupdate toepassen, zodat ze hun systemen kunnen bijwerken met behulp van een standaard implementatiecadans.

Workaround

Optioneel: Download het workaround-script van de GitHub Repository

Om deze kwetsbaarheid te omzeilen, moet de volgende registerwijziging worden doorgevoerd om de grootte van het grootste inkomende TCP-gebaseerde DNS-responspakket dat is toegestaan te beperken:

Subkey: HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\ServicesDNSParameters

Waarde: TcpReceivePacketSize

Type: DWORD

Waarde gegevens: 0xFF00

Opmerkingen:

De standaard (ook maximale) Waardegegevens = 0xFFFF.

De aanbevolen Waardegegevens = 0xFF00 (255 bytes minder dan het maximum).

U moet de DNS-service opnieuw opstarten om de wijziging in het register door te voeren. Voer hiervoor de volgende opdracht uit op een verhoogde opdrachtprompt:

     ```net stop dns && net start dns```

Belangrijke informatie over deze workaround

TCP-gebaseerde DNS-responspakketten die de aanbevolen waarde overschrijden, worden zonder fout gedropt. Daarom is het mogelijk dat sommige queries niet beantwoord worden. Dit kan een onverwachte fout veroorzaken. Een DNS server zal alleen negatieve gevolgen ondervinden van deze workaround als het geldige TCP antwoorden ontvangt die groter zijn dan toegestaan in de vorige beperking (meer dan 65.280 bytes).

Het is onwaarschijnlijk dat de verlaagde waarde invloed heeft op standaard implementaties of recursieve queries. Er kan echter een niet-standaard use-case bestaan in een bepaalde omgeving. Om te bepalen of de serverimplementatie nadelig beïnvloed wordt door deze workaround, moet je diagnostische logging inschakelen en een voorbeeldset vastleggen die representatief is voor je typische bedrijfsstroom. Vervolgens moet je de logbestanden bekijken om de aanwezigheid van abnormaal grote TCP antwoordpakketten te identificeren.

Voor meer informatie, zie DNS Logging and Diagnostics