KB4569509 : Conseils pour la vulnérabilité du serveur DNS CVE-2020-1350

S’applique à : Windows Server version 2004Windows Server version 1909Windows Server version 1903

Introduction


Le 14 juillet 2020, Microsoft a publié une mise à jour de sécurité pour le problème décrit dans CVE-2020-1350 | Vulnérabilité d’exécution de code à distance dans le serveur DNS Windows. Cet avis décrit une vulnérabilité d’exécution critique de code à distance (RCE ou Critical Remote Code Execution) qui affecte les serveurs Windows configurés pour exécuter le rôle Serveur DNS. Nous recommandons fortement aux administrateurs de serveurs d’appliquer la mise à jour de sécurité dès que possible.

Une solution de contournement basée sur le Registre peut être mise à profit pour aider à protéger un serveur Windows concerné et peut être implémentée sans devoir demander à un administrateur de redémarrer le serveur. En raison de la volatilité de cette vulnérabilité, il est possible que les administrateurs doivent implémenter la solution de contournement avant d’appliquer la mise à jour de sécurité afin de leur permettre de mettre à jour leurs systèmes selon une fréquence de déploiement standard.

Solution de contournement


Important
Suivez attentivement les étapes de cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de modifier le Registre, sauvegardez-le pour restauration en cas de problèmes.

Pour contourner cette vulnérabilité, modifiez le Registre comme suit pour restreindre la taille maximale autorisée de paquet de réponse DNS entrant basé sur TCP :

Sous-clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 

Valeur : TcpReceivePacketSize 

Type : DWORD 

Données de la valeur : 0xFF00

Remarques

  • Données de valeur par défaut (également maximum) = 0xFFFF.
  • Valeur recommandée = 0xFF00 (255 octets de moins que le maximum)
  • Vous devez redémarrer le service DNS pour que la modification du Registre prenne effet. Pour ce faire, tapez la commande suivante à partir d’une invite de commandes avec élévation de privilèges :

net stop dns && net start dns

Une fois la solution de contournement implémentée, un serveur DNS Windows ne pourra pas résoudre les noms DNS de ses clients si la réponse DNS du serveur en amont est supérieure à 65 280 octets.