CodeRed以来の久しぶりのWindowsサーバに致命的かつ重大なDNSサーバの脆弱性SigRedが登場しました。
連邦政府が最大をマークした脆弱性がやってきました!14日にこの脆弱性が公開されたので、たぶん来週にはツールが出回ります。もうMetasploitのモジュールとかできちゃってて、誰でも簡単に動かせているかも。Windowsサーバをインターネットで動かしている方は念のため確認ください。
CVE-2020-1350について
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
ーー以下の情報は以下のURLをもとに自動翻訳したものです。
いけりりおよび竹下は当情報によって生じた損失や損害について一切の責任を負いかねます。
また、情報の内容について一切の保証をいたしかねます。あくまで参考にしてください。
該当するもの Windows Server バージョン 2004Windows Server バージョン 1909Windows Server バージョン 1903 詳細
情報に追加で適用されます。
この記事は、特に以下の Windows サーバーのバージョンに適用されます。
Windows Server, バージョン 2004 (Server Core インストール)
Windows Server, バージョン1909 (Server Coreインストール)
Windows Server、バージョン1903 (Server Coreインストール)
Windows Server、バージョン1803 (サーバコアインストール)
Windows Server 2019(サーバーコアインストール
ウィンドウズサーバー2019
Windows Server 2016(サーバーコアインストール
ウィンドウズサーバー2016
Windows Server 2012 R2 (Server Core インストール)
ウィンドウズサーバー2012 R2
Windows Server 2012 (Server Core インストール)
ウィンドウズサーバー2012
Windows Server 2008 R2 for x64 ベースのシステム用のサービスパック 1 (サーバー コアのインストール)
Windows Server 2008 R2 for x64 ベース システム サービスパック 1
Windows Server 2008 for x64 ベースのシステム用のサービスパック 2 (サーバー コアのインストール)
Windows Server 2008 for x64 ベース システム サービスパック 2
Windows Server 2008 for 32ビットシステム用サービスパック2(サーバーコアのインストール
Windows Server 2008 32 ビット版サービスパック 2
序章
マイクロソフトは2020年7月14日、「CVE-2020-1350|Windows DNS Server Remote Code Execution Vulnerability」に記載されている問題のセキュリティアップデートをリリースしました。このアドバイザリでは、DNS サーバーの役割を実行するように構成された Windows サーバーに影響を与える Critical Remote Code Execution (RCE) の脆弱性について説明しています。サーバー管理者は、できるだけ早くこのセキュリティ更新プログラムを適用することを強くお勧めします。
レジストリベースの回避策を使用することで、影響を受けたWindowsサーバーを保護することができます。この脆弱性は不安定であるため、管理者は、標準的な展開を使用してシステムを更新できるようにするために、セキュリティ更新を適用する前に回避策を実装する必要がある場合があります。
回避策
重要
このセクションの手順に注意してください。レジストリを誤って修正すると、重大な問題が発生する可能性があります。変更する前に、問題が発生した場合に備えてレジストリをバックアップし、復元してください。
この脆弱性を回避するには、以下のレジストリを変更して、許可されている最大の受信TCPベースのDNS応答パケットのサイズを制限します。
Subkey: HKEY_LOCAL_MACHINE_SYSTEM\CurrentControlSet\Services\DNSParameters
値を指定します。TcpReceivePacketSize
タイプ DWORD
値データ。0xFF00
注意事項
デフォルト(最大値でもある)の値データ=0xFFFF。
推奨される値データ = 0xFF00(最大値より255バイト少ない)。
レジストリの変更を有効にするには、DNSサービスを再起動する必要があります。これを行うには、昇格したコマンドプロンプトで以下のコマンドを実行します。
net stop dns && net start dns
この問題を回避するための回避策を実装した後、アップストリーム サーバーからの DNS 応答が 65,280 バイトよりも大きい場合、Windows DNS サーバーはクライアントの DNS 名を解決できなくなります。
この回避策に関する重要な情報
TCPベースのDNS応答パケットは、推奨値を超えたものはエラーにならずにドロップされます。そのため、一部のクエリが応答されない可能性があります。これにより、予期せぬ障害が発生する可能性があります。DNS サーバーがこの回避策によって悪影響を受けるのは、以前のミティゲーションで許可された値(65,280 バイト以上)を超える有効な TCP 応答を受信した場合に限られます。
削減された値は、標準的な展開や再帰的なクエリに影響を与えることはありません。ただし、特定の環境では非標準的なユースケースが存在する可能性があります。サーバーの実装がこの回避策によって悪影響を受けるかどうかを判断するには、診断ロギングを有効にして、典型的なビジネス フローを代表するサンプル セットをキャプチャする必要があります。その後、ログ ファイルを確認して、異常に大きな TCP 応答パケットの存在を特定する必要があります。
詳細については、DNS ロギングと診断を参照してください。