KB4569509: Diretrizes para Vulnerabilidade de Servidor DNS CVE-2020-1350

Aplica-se a: Windows Server version 2004Windows Server version 1909Windows Server version 1903

Introdução


Em 14 de julho de 2020, a Microsoft lançou uma atualização de segurança para o problema descrito no CVE-2020-1350 | Vulnerabilidade de Execução Remota de Código do Servidor DNS do Windows. Esse aviso descreve uma vulnerabilidade RCE (Execução Remota de Código) Crítica que afeta servidores Windows configurados para executar a função Servidor DNS. Recomendamos fortemente que os administradores de servidores apliquem a atualização de segurança logo que possível.

Uma solução alternativa baseada no Registro pode ser usada para proteger um servidor Windows afetado e pode ser implementada sem exigir que um administrador reinicie o servidor. Devido à volatilidade dessa vulnerabilidade, os administradores podem ter que implementar a solução alternativa antes de aplicar a atualização de segurança, para que possam atualizar seus sistemas usando uma cadência de implantação padrão.

Solução alternativa


Importante
Siga as etapas nesta seção com cuidado. Sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Antes de modificá-lo, faça backup do Registro para restauração em caso de problemas.

Para contornar essa vulnerabilidade, faça a seguinte alteração no Registro para restringir o tamanho permitido do maior pacote de resposta DNS de entrada baseado em TCP:

Chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 

Valor = TcpReceivePacketSize 

Tipo = DWORD 

Dados de valor = 0xFF00

Observações

  • Os dados de Valor padrão (também máximo) = 0xFFFF.
  • Se esse valor do Registro for colado ou aplicado a um servidor por meio da Política de Grupo, o valor será aceito, mas não será definido para o valor que você espera. O valor 0x não pode ser digitado na caixa Dados de valor. No entanto, pode ser colado. Se colar o valor, você obterá um valor decimal de 4325120.
  • Esta solução alternativa aplica FF00 como o valor que tem um valor decimal de 65280. Este valor é 255 menor do que o valor máximo permitido de 65.535.
  • Você deve reiniciar o Serviço DNS para que a alteração no Registro entre em vigor. Para fazer isso, digite os seguintes comandos em um prompt de comandos com privilégios elevados:

net stop dns && net start dns

Depois que a solução alternativa for implementada, um servidor DNS do Windows não poderá resolver nomes DNS para seus clientes se a resposta DNS do servidor upstream for maior que 65.280 bytes.