KB4569509: Orientación para la vulnerabilidad CVE-2020-1350 del servidor DNS

Se aplica a: Windows Server version 2004Windows Server version 1909Windows Server version 1903

Introducción


El 14 de julio de 2020, Microsoft publicó una actualización de seguridad para el problema descrito en CVE-2020-1350 Vulnerabilidad de ejecución remota de código del servidor DNS de Windows. Este aviso describe una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a los servidores de Windows que estén configurados para ejecutar el rol de servidor DNS. Recomendamos encarecidamente que los administradores de servidores instalen la actualización de seguridad lo antes posible.

Se puede emplear una solución alternativa basada en el Registro para proteger un servidor Windows afectado, y esta se puede implementar sin necesidad de que un administrador reinicie el servidor. Debido a la volatilidad de esta vulnerabilidad, puede que los administradores tengan que implementar la solución alternativa antes de instalar la actualización de seguridad para que puedan actualizar sus sistemas con un ritmo de implementación estándar.

Solución alternativa


Importante
Siga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo, realice una copia de seguridad del Registro para efectuar una restauración en caso de que surjan problemas.

Para evitar esta vulnerabilidad, realice el siguiente cambio en el Registro para restringir el tamaño máximo permitido de los paquetes de respuesta DNS basados en TCP entrantes:

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 

Valor: TcpReceivePacketSize 

Tipo: DWORD 

Información del valor: 0xFF00

Notas

  • Los datos de valor por defecto (también máximos) son 0xFFFF.
  • Los datos de valor recomendados son 0xFF00 (255 bytes menos que el máximo).
  • Debe reiniciar el servicio DNS para que el cambio del Registro surta efecto. Para ello, escriba el comando siguiente en el símbolo del sistema con privilegios elevados:

net stop dns && net start dns

Después de implementar la solución alternativa, un servidor DNS de Windows no podrá resolver los nombres DNS de sus clientes cuando la respuesta DNS del servidor ascendente sea mayor que 65.280 bytes.