La vulnerabilidad crítica de ejecución de código remoto en los servidores DNS Windows (CVE-2020-1350) se presenta cuando estos fallan al procesar correctamente solicitudes; es decir, para explotar dicha vulnerabilidad, un atacante podría enviar solicitudes maliciosas al servidor DNS con el fin de ejecutar comandos. Por otro lado, esta vulnerabilidad se considera como wormable, ya que podría esparcirse vía malware a otras computadoras vulnerables sin la interacción de un usuario.
Las versiones de Windows Server conocidas como vulnerables son de 2003 al 2019.
La solución efectiva para la mitigación de la vulnerabilidad es la actualización de software; sin embargo, existe un workaround que podría ser aplicado si no es posible actualizar, la cual consiste en agregar una llave de registro. Dichas soluciones deberán ser ejecutadas lo más pronto posible para evitar la explotación de la vulnerabilidad.
A continuación, se presentan enlaces web con información la versión de software:
El workaround consiste en la modificación de un registro, y posteriormente el reinicio del servicio de DNS. Las líneas presentadas a continuación podrían ser ejecutadas en Windows PowerShell.
$RegPath = «HKLM:\SYSTEM\CurrentControlSet\Services\DNS\Parameters»
New-ItemProperty -Path $RegPath -Name TcpReceivePacketSize -Value 0xFF00 -PropertyType DWORD
Restart-Service DNS
Para deshacer los cambios realizados en el workaround después de la actualización, se podrá realizar con la ejecución de las siguientes líneas en Windows PowerShell:
$RegPath = «HKLM:\SYSTEM\CurrentControlSet\Services\DNS\Parameters»
Remove-ItemProperty -Path $RegPath -Name TcpReceivePacketSize
Restart-Service DNS
Referencias:
BERKOUWER, S. (2020, July 15). Windows DNS Server Remote Code Execution Vulnerability (SIGred, Wormable, Critical, CVE-2020-1350). The DirTeam.Com / ActiveDir.Org Weblogs. https://dirteam.com/sander/2020/07/15/windows-dns-server-remote-code-execution-vulnerability-sigred-wormable-critical-cve-2020-1350/