Este artículo se aplica específicamente a las siguientes versiones de servidor de Windows:
-
Windows Server, versión 2004 (instalación de Server Core)
-
Windows Server, versión 1909 (instalación de Server Core)
-
Windows Server, versión 1903 (instalación de Server Core)
-
Windows Server, versión 1803 (instalación Server Core)
-
Windows Server 2019 (instalación de Server Core)
-
Windows Server 2019
-
Windows Server 2016 (instalación de Server Core)
-
Windows Server 2016
-
Windows Server 2012 R2 (instalación de Server Core)
-
Windows Server 2012 R2
-
Windows Server 2012 (instalación de Server Core)
-
Windows Server 2012
-
Windows Server 2008 R2 Service Pack 1 para sistemas basados en x64 (instalación de Server Core)
-
Windows Server 2008 R2 Service Pack 1 para sistemas basados en x64
-
Windows Server 2008 Service Pack 2 para sistemas basados en x64 (instalación de Server Core)
-
Windows Server 2008 Service Pack 2 para sistemas basados en x64
-
Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalación de Server Core)
-
Windows Server 2008 Service Pack 2 para sistemas de 32 bits
Introducción
El 14 de julio de 2020, Microsoft publicó una actualización de seguridad para el problema descrito en CVE-2020-1350 Vulnerabilidad de ejecución remota de código del servidor DNS de Windows. Este aviso describe una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a los servidores de Windows que estén configurados para ejecutar el rol de servidor DNS. Recomendamos encarecidamente que los administradores de servidores instalen la actualización de seguridad lo antes posible.
Se puede emplear una solución alternativa basada en el Registro para proteger un servidor Windows afectado, y esta se puede implementar sin necesidad de que un administrador reinicie el servidor. Debido a la volatilidad de esta vulnerabilidad, puede que los administradores tengan que implementar la solución alternativa antes de instalar la actualización de seguridad para que puedan actualizar sus sistemas con un ritmo de implementación estándar.
Solución alternativa
Importante realice una copia de seguridad del Registro para efectuar una restauración en caso de que surjan problemas.
Siga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo,Para evitar esta vulnerabilidad, realice el siguiente cambio en el Registro para restringir el tamaño máximo permitido de los paquetes de respuesta DNS basados en TCP entrantes:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Valor = TcpReceivePacketSize Tipo = DWORD Datos de valor = 0xFF00Notas
-
Los datos de valor por defecto (también máximos) son 0xFFFF.
-
Si este valor del Registro se pega o se aplica a un servidor mediante la directiva de grupo, se aceptará, aunque no se establecerá en el valor que espera. El valor 0x no se puede escribir en el cuadro Datos de valor. Sin embargo, se puede pegar. Si pega el valor, obtendrá un valor decimal de 4325120.
-
Esta solución alternativa aplica FF00 como el valor que tiene un valor decimal de 65280. Este valor es 255 unidades menor que el valor máximo permitido, que es 65.535.
-
Debe reiniciar el servicio DNS para que el cambio del Registro surta efecto. Para ello, escriba el comando siguiente en el símbolo del sistema con privilegios elevados:
net stop dns && net start dns
Después de implementar la solución alternativa, un servidor DNS de Windows no podrá resolver los nombres DNS de sus clientes cuando la respuesta DNS del servidor ascendente sea mayor que 65.280 bytes.
Información importante sobre esta solución alternativa
Los paquetes de respuesta DNS basados en TCP que superen el valor recomendado se descartarán sin notificación de error. Por lo tanto, es posible que algunas solicitudes queden sin responder. Esto podría dar lugar a un error imprevisto. Un servidor DNS solo se verá afectado negativamente por esta solución alternativa si recibe respuestas TCP válidas que sean mayores que las permitidas en la mitigación anterior (más de 65.280 bytes).DNS Logging and Diagnostics.
Es poco probable que el valor reducido afecte a las implementaciones estándar o a las consultas recursivas. Sin embargo, podría darse un caso de uso no estándar en un entorno determinado. Para determinar si esta solución alternativa afectará de forma negativa a la implementación del servidor, debe habilitar el registro de diagnóstico y capturar un conjunto de muestras que sea representativo de su flujo empresarial normal. A continuación, deberá revisar los archivos de registro para identificar la presencia de paquetes de respuesta TCP inusualmente grandes. Para obtener más información, consultePreguntas más frecuentes
La solución alternativa está disponible en todas las versiones de Windows Server que ejecuten el rol DNS.
Hemos confirmado que esta configuración del Registro no afecta a las transferencias de zona DNS.
No, no es necesario hacer ambas. Instalar la actualización de seguridad en un sistema resuelve esta vulnerabilidad. La solución alternativa basada en el Registro protege a un sistema cuando no puede instalar la actualización de seguridad inmediatamente, y no se debe considerar como un sustituto de la actualización de seguridad. Una vez instalada la actualización, la solución alternativa ya no es necesaria y debe quitarse.
La solución alternativa es compatible con la actualización de seguridad. Sin embargo, la modificación del registro ya no será necesaria después de instalar la actualización. Las prácticas recomendadas establecen que las modificaciones del Registro se deben borrar cuando ya no se necesiten para evitar que la ejecución de una configuración no estándar genere posibles consecuencias futuras.
Se recomienda que quienes ejecuten servidores DNS instalen la actualización de seguridad lo antes posible. Si no puede instalar la actualización de inmediato, podrá proteger su entorno antes de su cadencia estándar para instalar actualizaciones.
No. La configuración del Registro es exclusiva para los paquetes de respuesta DNS basados en TCP entrantes y no afecta globalmente al procesamiento general de mensajes TCP por parte del sistema.