KB4569509: Guidance for DNS Server Vulnerability CVE-2020-1350

Introducción

El 14 de julio de 2020, Microsoft publicó una actualización de seguridad para el problema que se describe en CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability. Este aviso describe una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a los servidores Windows configurados para ejecutar la función de servidor DNS. Recomendamos encarecidamente que los administradores de servidores apliquen la actualización de seguridad lo antes posible.

Se puede utilizar una solución basada en el registro para ayudar a proteger un servidor Windows afectado, y se puede implementar sin necesidad de que un administrador reinicie el servidor. Debido a la volatilidad de esta vulnerabilidad, es posible que los administradores tengan que implementar la solución antes de aplicar la actualización de seguridad para poder actualizar sus sistemas utilizando una cadencia de implementación estándar.

Solución

Opcional: Descargue el script de la solución de la página GitHub Repository

Para solucionar esta vulnerabilidad, realice el siguiente cambio en el registro para restringir el tamaño del paquete de respuesta DNS basado en TCP entrante más grande permitido:

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Valor: TcpReceivePacketSize

Tipo: DWORD DWORD

Datos del valor: 0xFF00

Notas:

El valor de datos por defecto (también máximo) = 0xFFFF.

Datos de valor recomendados = 0xFF00 (255 bytes menos que el máximo).

Debe reiniciar el Servicio DNS para que el cambio en el registro surta efecto. Para ello, ejecute el siguiente comando en un símbolo del sistema elevado:

     ```net stop dns && net start dns```

Información importante sobre esta solución

Los paquetes de respuesta DNS basados en TCP que superen el valor recomendado se descartarán sin error. Por lo tanto, es posible que algunas consultas no reciban respuesta. Esto podría causar un fallo imprevisto. Un servidor DNS se verá afectado negativamente por esta solución sólo si recibe respuestas TCP válidas que superen lo permitido en la mitigación anterior (más de 65.280 bytes).

Es poco probable que el valor reducido afecte a las implantaciones estándar o a las consultas recursivas. Sin embargo, puede existir un caso de uso no estándar en un entorno determinado. Para determinar si la implementación del servidor se verá afectada negativamente por esta solución, deberá activar el registro de diagnóstico y capturar un conjunto de muestras que sea representativo de su flujo de negocio típico. A continuación, deberá revisar los archivos de registro para identificar la presencia de paquetes de respuesta TCP anómalamente grandes

Para más información, consulte DNS Logging and Diagnostics