Skip to main content

Лечим уязвимость SIGRed в DNS-серверах Windows (CVE-2020-1350)

Дата публикации: .

14 июля Microsoft сообщила об уязвимости CVE-2020-1350 в DNS-серверах Windows, названной SIGRed. Уязвимость получила 10 баллов по шкале CVSS. Это значит, что она критическая.

Чем опасна данная уязвимость?

CVE-2020-1350 позволяет злоумышленнику «заставлять» DNS-серверы под управлением Windows Server удаленно выполнять вредоносный код. Другими словами, уязвимость относится к классу RCE (Remote code execution — удаленное выполнение кода на сервере).

Чтобы использовать уязвимость, достаточно отправить специально сгенерированный запрос на DNS-сервер. Затем выполняется сторонний код в контексте учетной записи LocalSystem. Эта учетная запись имеет широкие привилегии на локальном компьютере. По словам Microsoft, главная опасность уязвимости заключается в том, что ее можно использовать для распространения угрозы по локальной сети; то есть он классифицируется как wormable.

Обязательные мероприятия для защиты от SIGRed

Оптимальным является установка патча от Microsoft, который изменяет метод обработки запросов DNS-серверами. Его можно загрузить с портала Microsoft.
Есть и обходной путь, при котором не требуется перезагрузка всего сервера. Нужно внести изменения в системный реестр DNS-сервера:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

После чего требуется перезапустить службы DNS.

Напоминаем!

Общие рекомендации по защите от вредоносного ПО

  1. Проверка наличия антивирусного ПО на всех компонентах инфраструктуры.
  2. Запуск обновления баз сигнатур антивирусного ПО для всех компонентов инфраструктуры. Также необходимо убедиться в  наличии расписания автоматического обновления баз сигнатур с минимально возможным интервалом проверок наличия свежих обновлений.
  3. Установка актуальных обновлений безопасности Microsoft Windows.
  4. Проверка наличия регламентов резервного копирования ключевой информации и их добросовестного исполнения.
  5. Оповещение сотрудников о том, что нельзя открывать подозрительные почтовые вложения и переходить по сомнительным ссылкам, даже если вам их присылают знакомые.

CVE-2020-1350, SIGRed, Уязвимость