CVE-2020-1350

Суть уязвимости

Уязвимость (SIGRed) в службе DNS-сервера Windows позволяет удаленному злоумышленнику отправить специально созданный DNS-запрос (например, типа SIG), что приводит к переполнению буфера. В результате возможно выполнение произвольного кода с привилегиями системной учетной записи (Local System Account) на целевом сервере.

Как исправить

Установите официальный патч от Microsoft. Обновление зависит от версии ОС:

• Windows Server 2008 R2 (SP1) — Установите обновление KB4565529.
• Windows Server 2012 R2 — Установите обновление KB4565541.
• Windows Server 2016 — Установите обновление KB4565511.
• Windows Server 2019 — Установите обновление KB4565483.

Действия: 1. Откройте Центр обновления Windows (Settings -> Update & Security). 2. Проверьте наличие обновлений и установите их. 3. Или скачайте и установите соответствующий пакет обновления (KB) по ссылкам выше вручную. 4. Перезагрузите сервер после установки.

Временное решение

Если немедленная установка патча невозможна, примените временное решение через реестр, ограничив максимальный размер входящих TCP-запросов к DNS-серверу.

Внимание! Это может нарушить работу легитимных запросов с большими пакетами (например, DNSSEC). Тщательно протестируйте.

1. Откройте Редактор реестра (regedit) с правами администратора.
2. Перейдите к разделу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
3. Создайте новый параметр DWORD (32-bit) с именем TcpReceivePacketSize.
4. Установите его значение в 0xFF00 (десятичное 65280).

5. Перезапустите службу DNS-сервера:

   bash net stop dns && net start dns

Дополнительные меры: * Настройте правила на сетевом брандмауэре или WAF на блокировку входящих DNS-запросов (TCP/UDP порт 53) из ненадежных сетей (например, из интернета, если сервер внутренний). * Рассмотрите возможность применения микросegmentation для изоляции DNS-серверов в сети.