Se lanzó una solución para la vulnerabilidad de CVE-2020-1350. Esta vulnerabilidad de Ejecución crítica de código remoto (RCE) en el Servidor DNS de Windows que está clasificada como una vulnerabilidad “wormable” y tiene un puntaje base de CVSS de 10.0. Este problema resulta de una falla en la implementación del rol del servidor DNS de Microsoft y afecta a todas las versiones de Windows Server. Los servidores DNS que no son de Microsoft no se ven afectados.

Se debe tener en cuenta que:

DNS opera sobre el puerto 53 de UDP / TCP.
Un solo mensaje DNS (respuesta / consulta) está limitado a 512 bytes en UDP y 65.535 bytes en TCP.
El DNS es de naturaleza jerárquica y descentralizada. Esto significa que cuando un servidor DNS no conoce la respuesta a una consulta que recibe, la consulta se reenvía a un servidor DNS por encima de él en la jerarquía. En la parte superior de la jerarquía hay 13 servidores DNS raíz en todo el mundo.
En Windows, el cliente DNS y el servidor DNS se implementan en dos módulos diferentes:

Cliente DNS : dnsapi.dlles responsable de la resolución de DNS.

Servidor DNS : dns.exees responsable de responder las consultas de DNS en Windows Server, en el que está instalada la función DNS

Aplica específicamente a las siguientes versiones de servidores:

Sistemas Operativos KB Actualización
Windows Server, version 2004 (Server Core installation)

KB4565503

 http://download.windowsupdate.com/c/msdownload/update/software/secu/2020/07/windows10.0-kb4565503-x64_db6e183196b0c394a7fa3be6e8fd26544c6dc9ce.msu
Windows Server, version 1909 (Server Core installation)

KB4565483

 http://download.windowsupdate.com/d/msdownload/update/software/secu/2020/07/windows10.0-kb4565483-arm64_b175163474fe04830d22fd76b825c75c62393f74.msu
Windows Server, version 1903 (Server Core installation) KB4565483 http://download.windowsupdate.com/d/msdownload/update/software/secu/2020/07/windows10.0-kb4565483-x64_1f6258cf4f9d8d7986e676c47f3d380003711a61.msu
Windows Server 2019 (Server Core installation) – Windows Server 2019 KB4558998 http://download.windowsupdate.com/c/msdownload/update/software/secu/2020/07/windows10.0-kb4558998-x64_6da68fe659dacb747458ab3a431c3546ce7765b5.msu
Windows Server 2016 (Server Core installation) y Windows Server 2016 KB4565511 http://download.windowsupdate.com/c/msdownload/update/software/secu/2020/07/windows10.0-kb4565511-x64_5d2481cbc9319147ad3c8f42e07a0ee182909be9.msu
Windows Server 2012 R2 (Server Core installation) – Windows Server 2012 R2 KB4565540 http://download.windowsupdate.com/d/msdownload/update/software/secu/2020/07/windows8.1-kb4565540-x64_1eba7b590679d38a1a27e44d93bebc710ebfbc42.msu
Windows Server 2012 KB4565535 http://download.windowsupdate.com/d/msdownload/update/software/secu/2020/07/windows8-rt-kb4565535-x64_48855811b37d4946abe0846698974ba5e0aa2d4e.msu
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation), Windows Server 2008 R2 for x64-based Systems Service Pack 1, Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation), Windows Server 2008 for x64-based Systems Service Pack 2, Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) y Windows Server 2008 for 32-bit Systems Service Pack 2 KB465529 http://download.windowsupdate.com/c/msdownload/update/software/secu/2020/07/windows6.0-kb4565529-x64_7c371abf97b50b4325f14a4ab0c425556099bce7.msu

Cuadro No. 1

Las vulnerabilidades “wormable” tienen el potencial de propagarse a través de malware entre computadoras vulnerables sin interacción del usuario. Windows DNS Server es un componente de red central. Si bien actualmente no se sabe que esta vulnerabilidad se use en ataques activos, es esencial que los clientes apliquen las actualizaciones de Windows para abordar esta vulnerabilidad lo antes posible.

Solución

Se recomienda instalar las actualizaciones publicadas por microsoft, que se relacionan en el cuadro No. 1

Para evitar esta vulnerabilidad, realice el siguiente cambio, en el  registro de Windows con el fin de restringir el tamaño del paquete de respuesta DNS entrante basado en TCP más grande permitido:

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Valor: TcpReceivePacketSize

Tipo: REG_DWORD

Valor = 0xFF00

Nota: Debe reiniciar el Servicio DNS para que el cambio de registro surta efecto; el servicio de DNS se reinicia, ejecutando con privilegios de administrador en command prompt net stop dns && net start dns.

  • Valor por defecto (max) Value = 0xFFFF
  • Valor recomendado Value = 0xFF00 (255 bytes menos que el max)

Después de implementar la solución alternativa, un servidor DNS de Windows no podrá resolver los nombres DNS de sus clientes cuando la respuesta DNS del servidor ascendente sea mayor que 65.280 bytes.

Información importante sobre esta solución

Los paquetes de respuesta DNS basados ​​en TCP que exceden el valor recomendado se descartarán sin error, por lo que es posible que algunas consultas no sean respondidas. Esto podría resultar en una falla imprevista. Un servidor DNS solo se verá afectado negativamente por esta solución si recibe respuestas TCP válidas que son mayores de lo permitido en la mitigación anterior (más de 65,280 bytes).Es poco probable que el valor reducido afecte las implementaciones estándar o las consultas recursivas, pero un caso de uso no estándar puede estar presente en un entorno determinado.

Para determinar si la implementación del servidor se verá afectada negativamente por esta solución alternativa debe:

  • Habilitar el registro de diagnóstico y capturar un conjunto de muestra que sea representativo de su flujo comercial típico.
  • Revisar los archivos de registro para identificar la presencia de paquetes de respuesta TCP anormalmente grandes.
  • Antes de modificar el registro de Windows, realicé un backup para restaurarlo en caso de presentarse perdida de servicios.

Referencias

https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability