CVE-2020-1350: falha em servidores DNS do Windows

CVE-2020-1350: falha em servidores DNS do Windows

Microsoft lançou um patch para uma vulnerabilidade crítica de RCE nos sistemas com Windows Server

A Microsoft divulgou a CVE-2020-1350 no servidor DNS do Windows. Más notícias: a vulnerabilidade alcançou 10 pontos na escala CVSS, o que significa que é crítica.

Boas notícias: os cibercriminosos podem explorá-la apenas se o sistema estiver sendo executado no modo de servidor DNS; em outras palavras, o número de computadores potencialmente vulneráveis é relativamente pequeno.

Além disso, a empresa já lançou patches e uma solução alternativa. 

Qual é a vulnerabilidade do Windows e como ela é perigosa? 

A CVE-2020-1350 permite que um cibercriminoso force os servidores DNS que executam o Windows Server um código malicioso remotamente. Em outras palavras, a vulnerabilidade pertence à classe RCE (execução remota de código, na sigla em inglês).

Para explorar a CVE-2020-1350, basta enviar uma solicitação gerada para o servidor DNS. 

Códigos de terceiros são executados no contexto da conta LocalSystem. Essa conta possui amplos privilégios no computador local e atua como um computador na rede.

Além disso, o subsistema de segurança não reconhece a conta LocalSystem. Segundo a Microsoft, o principal perigo da vulnerabilidade é que ela pode ser usada para espalhar uma ameaça pela rede local; isto é, é classificado como wormable

Quem está na zona de risco da CVE-2020-1350? 

Todas as versões do Windows Server são vulneráveis, mas somente se executadas no modo de servidor DNS. Se a sua empresa não possui um servidor DNS ou utiliza um servidor DNS com base em um sistema operacional diferente, você não precisa se preocupar com isso. 

Felizmente, a vulnerabilidade foi descoberta pela Check Point Research, e ainda não existem informações públicas sobre como explorá-la. Além disso, atualmente não há evidências de que a CVE-2020-1350 tenha sido explorada por invasores. 

No entanto, é muito provável que, assim que a Microsoft recomendou a atualização do sistema, os cibercriminosos começaram a examinar servidores DNS vulneráveis e as patches lançadas para descobrir como explorar a vulnerabilidade. Por isso, ninguém deve demorar para fazer a instalação da patch. 

Como proceder neste cenário do Windows? 

Como mencionado acima, a melhor ação é instalar a patch da Microsoft, que modifica a maneira de lidar com solicitações dos servidores DNS. 

A patch está disponível para Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server versão 1903, Windows Server versão 1909 e Windows Server versão 2004. Você pode baixá-la na página da Microsoft dedicada a esta vulnerabilidade. 

No entanto, algumas grandes empresas têm regras internas e uma rotina estabelecida para atualizações de software, e seus administradores de sistema podem não conseguir instalar a patch imediatamente.

Para impedir que os servidores DNS sejam comprometidos nesses casos, a empresa também propôs uma solução alternativa. Isso envolve fazer as seguintes alterações no registro do sistema: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters  
DWORD = TcpReceivePacketSize  
Value = 0xFF00 

Após salvar as alterações, você precisará reiniciar o servidor. Observe que essa solução alternativa pode levar à operação incorreta do servidor, especialmente no caso do recebimento de um pacote TCP maior que 65.280 bytes.

Portanto, a Microsoft recomenda excluir a chave do Windows TcpReceivePacketSize e seu valor e retornar a entrada do registro ao estado original, uma vez que o patch será eventualmente instalada. 

Da nossa parte, queremos lembrá-lo de que o servidor DNS em execução na sua infraestrutura é um computador, igual a qualquer outro ponto endpoint.

Eles também podem ter vulnerabilidades que os cibercriminosos podem tentar explorar. Portanto, como qualquer outro terminal na rede, ele requer uma solução de segurança.

Fonte: Kaspersky Daily

17-Year-Old Critical ‘Wormable’ RCE Vulnerability Impacts Windows DNS Servers

Kaspersky alerta sobre ransomware Sodin que explora vulnerabilidade do Windows

Check Point descobre nova vulnerabilidade crítica em ambiente Microsoft que coloca em risco a segurança das empresas

Deixe uma resposta

Fechar Menu
WhatsApp chat