KB4569509: Guidance for DNS Server Vulnerability CVE-2020-1350

#はじめに

2020年7月14日、マイクロソフト社は「CVE-2020-1350|Windows DNS Server Remote Code Execution Vulnerability」に記載されている問題に対するセキュリティ更新プログラムをリリースしました。本アドバイザリでは、DNS サーバーの役割を実行するように構成された Windows サーバーに影響する、重大なリモートコード実行 (RCE) の脆弱性について説明します。サーバー管理者は、早急にセキュリティ更新プログラムを適用することを強く推奨します。

レジストリベースの回避策を使用することで、影響を受ける Windows サーバーを保護することができます。この脆弱性は不安定であるため、管理者は、セキュリティ更新プログラムを適用する前に回避策を実行する必要があります。

回避策

オプション: 回避スクリプトを以下のサイトからダウンロードする。 GitHub Repository

この脆弱性を回避するには、以下のレジストリを変更して、許可される最大のインバウンドTCPベースのDNS応答パケットのサイズを制限する:

Subkey: HKEY_LOCAL_MACHINE⇄SYSTEM⇄CurrentControlSet⇄Services⇄DNS⇄Parameters

値:TcpReceivePacketSize

タイプ:DWORDDWORD

値のデータ:0xFF00

**注意事項

デフォルト(最大値)は 0xFFFF である。

推奨値データ=0xFF00(最大値より255バイト少ない)。

レジストリの変更を有効にするには、DNSサービスを再起動する必要があります。これを行うには、昇格コマンドプロンプトで以下のコマンドを実行します:

     ```net stop dns && net start dns```

この回避策に関する重要な情報

推奨値を超えるTCPベースのDNS応答パケットはエラーにならずにドロップされます。そのため、一部のクエリに応答できない可能性があります。これは予期せぬ障害を引き起こす可能性があります。DNS サーバーがこの回避策によって悪影響を受けるのは、有効な TCP 応答を受信して、それが前の緩和策で許容された値よりも大きい場合(65,280 バイト以上)だけである。

軽減された値は、標準的な展開や再帰的なクエリに影響を与える可能性は低い。しかし、ある環境では標準的ではない使用例が存在する可能性がある。この回避策によってサーバの実装が悪影響を受けるかどうかを判断するには、診断ロギングを有効にし、典型的なビジネスフローを代表するサンプルセットをキャプチャする必要があります。次に、ログファイルをレビューして、異常に大きなTCP応答パケットの存在を確認する必要があります。

詳細については DNS Logging and Diagnostics