Kritična ranjivost Windows DNS poslužitelja stara čak 17 godina

Sigurnosna tvrtka CheckPoint otkrila je kritičnu ranjivost Windows DNS poslužitelja staru čak 17 godina, objavio je Nacionalni CERT.

DNS (Domain name system) je sustav koji pruža usluge pretvaranja IP adrese u domene i domene u IP adrese. DNS najčešće šalje informacije preko UDP porta 53. Klijent šalje jedan zahtjev serveru, a server odgovara jednim zahtjevom.

Ranjivosti nazvanoj SIGRed dodijeljena je oznaka CVE-2020-1350). Radi se o kritičnoj ranjivosti za Microsoft Windows DNS poslužitelj. Ranjivost napadaču omogućava izvršavanje proizvoljnog kôda s administratorskim ovlastima slanjem posebno oblikovanog odgovora. Zahvaćene su Windows Server inačice od 2003. do 2019. godine. Ranjivost je potrebno zakrpati sigurnosnim ažuriranjem.

Zahvaćene inačice su: Windows Server 2008 for 32-bit Systems Service Pack 2 , Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation), Windows Server 2008 for x64-based Systems Service Pack 2, Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation), Windows Server 2008 R2 for x64-based Systems Service Pack 1, Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation), Windows Server 2012 ,Windows Server 2012 (Server Core installation), Windows Server 2012 R2 ,Windows Server 2012 R2 (Server Core installation), Windows Server 2016 ,Windows Server 2016 (Server Core installation), Windows Server 2019 ,Windows Server 2019 (Server Core installation), Windows Server, version 1903 (Server Core installation), Windows Server, version 1909 (Server Core installation) i Windows Server, version 2004 (Server Core installation).

Zakrpa

Microsoft je u posljednjem Patch Tuesdayu izdao zakrpu za sve zahvaćene inačice. Uz primjenu zakrpe, ranjivost je moguće otkloniti korištenjem zaobilaznog rješenja (eng. Workaround) izmjenom registry unosa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

DWORD = TcpReceivePacketSize

Value = 0xFF00

Ranjivost je moguće spriječiti i korištenjem naredbe:

reg add “HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f

te ponovnim pokretanjem DNS servisa kako bi se izmjene primijenile:

net stop DNS && net start DNS

Nakon primjene zaobilaznog rješenja, DNS poslužitelj sustava Windows neće moći razlučiti DNS nazive svojih klijenata kada je DNS odgovor s poslužitelja veći od 65280 bajta. (fotografija Windows Central)

Podijeli: