KB4569509: Guidance for DNS Server Vulnerability CVE-2020-1350

Introduction

Le 14 juillet 2020, Microsoft a publié une mise à jour de sécurité pour le problème décrit dans CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability. Cet avis décrit une vulnérabilité critique d’exécution de code à distance (RCE) qui affecte les serveurs Windows configurés pour exécuter le rôle de serveur DNS. Nous recommandons vivement aux administrateurs de serveurs d’appliquer la mise à jour de sécurité dès que possible.

Une solution de contournement basée sur le registre peut être utilisée pour aider à protéger un serveur Windows affecté, et elle peut être mise en œuvre sans nécessiter le redémarrage du serveur par l’administrateur. En raison de la volatilité de cette vulnérabilité, les administrateurs peuvent être amenés à mettre en œuvre la solution de contournement avant d’appliquer la mise à jour de sécurité afin de leur permettre de mettre à jour leurs systèmes en utilisant une cadence de déploiement standard.

Solution de contournement

En option: Télécharger le script de contournement à partir du site web GitHub Repository

Pour contourner cette vulnérabilité, apportez la modification suivante au registre afin de limiter la taille du plus grand paquet de réponse DNS entrant basé sur TCP qui est autorisé :

Sous-clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Paramètres

Valeur : TcpReceivePacketSize

Type : DWORD

Valeur des données : 0xFF00

Notes:

La valeur par défaut (et la valeur maximale) est 0xFFFF.

Les données de valeur recommandées = 0xFF00 (255 octets de moins que le maximum).

Vous devez redémarrer le service DNS pour que la modification du registre prenne effet. Pour ce faire, exécutez la commande suivante à une invite de commande élevée :

     ```net stop dns && net start dns```

Informations importantes concernant cette solution de contournement

Les paquets de réponses DNS basés sur le protocole TCP qui dépassent la valeur recommandée seront abandonnés sans erreur. Il est donc possible que certaines requêtes ne reçoivent pas de réponse. Cela pourrait entraîner une défaillance imprévue. Un serveur DNS ne sera affecté négativement par cette solution de contournement que s’il reçoit des réponses TCP valides dont la taille est supérieure à celle autorisée dans l’atténuation précédente (plus de 65 280 octets).

Il est peu probable que la valeur réduite affecte les déploiements standard ou les requêtes récursives. Cependant, un cas d’utilisation non standard peut exister dans un environnement donné. Pour déterminer si la mise en œuvre du serveur sera affectée par cette solution de contournement, vous devez activer la journalisation des diagnostics et capturer un ensemble d’échantillons représentatif de votre flux d’activité habituel. Ensuite, vous devrez examiner les fichiers journaux pour identifier la présence de paquets de réponse TCP anormalement volumineux.

Pour plus d’informations, voir DNS Logging and Diagnostics