Solución de vulnerabilidad DNS de Windows
El 14 de julio de 2020, Microsoft publicó una actualización de seguridad para el problema descrito en CVE-2020-1350 | Vulnerabilidad de ejecución de código remoto en el servidor DNS de Windows. Este documento informativo describe una vulnerabilidad crítica de ejecución de código remoto (RCE) que afecta a los servidores de Windows que están configurados para ejecutar el rol de servidor DNS. Windows recomienda que los administradores del servidor apliquen la actualización de seguridad a su mayor brevedad.
Una solución basada en el registro puede aprovecharse para ayudar a proteger un servidor de Windows afectado y se puede implementar sin necesidad de que un administrador reinicie el servidor. Debido a la volatilidad de esta vulnerabilidad, es posible que los administradores tengan que implementar la solución alternativa antes de aplicar la actualización de seguridad para permitirles que actualicen sus sistemas con un ritmo de complementación estándar.
SOLUCIÓN ALTERNATIVA
La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo, realice una copia de seguridad del Registro para efectuar una restauración en caso de que surjan problemas.
Para evitar esta vulnerabilidad, realice el siguiente cambio en el Registro para restringir el tamaño máximo permitido de los paquetes de respuesta DNS basados en TCP entrantes:
Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters Valor: TcpReceivePacketSize Tipo: DWORD Información del valor: 0xFF00
Notas
Los datos de valor por defecto (también máximos) son 0xFFFF.
Los datos de valor recomendados son 0xFF00 (255 bytes menos que el máximo).
Debe reiniciar el servicio DNS para que el cambio del Registro surta efecto. Para ello, escriba el comando siguiente en el símbolo del sistema con privilegios elevados:
net stop dns && net start dns
Después de implementar la solución alternativa, un servidor DNS de Windows no podrá resolver los nombres DNS de sus clientes cuando la respuesta DNS del servidor ascendente sea mayor que 65.280 bytes.
Información importante sobre esta solución alternativa Los paquetes de respuesta DNS basados en TCP que superen el valor recomendado se descartarán sin notificación de error. Por lo tanto, es posible que algunas solicitudes queden sin responder. Esto podría dar lugar a un error imprevisto. Un servidor DNS solo se verá afectado negativamente por esta solución alternativa si recibe respuestas TCP válidas que sean mayores que las permitidas en la mitigación anterior (más de 65.280 bytes). Es poco probable que el valor reducido afecte a las implementaciones estándar o a las consultas recursivas. Sin embargo, podría darse un caso de uso no estándar en un entorno determinado. Para determinar si esta solución alternativa afectará de forma negativa a la implementación del servidor, debe habilitar el registro de diagnóstico y capturar un conjunto de muestras que sea representativo de su flujo empresarial normal. A continuación, deberá revisar los archivos de registro para identificar la presencia de paquetes de respuesta TCP inusualmente grandes. Para obtener más información, consulte DNS Logging and Diagnostics.
Fuente: Microsoft Support