CVE-2020-1350 Windows DNS サーバの脆弱性が見つかってパッチが提供されている
Windows Server でのDNSサーバに脆弱性が存在していて、パッチが適用されています。
DNSサーバはシステムする際には重要なサーバなので、
脆弱性の攻撃されるとセキュリティが担保できなくなり危険です。
しかも、今回のアドバイザリによると
脆弱性の深刻度が「緊急」だそうです。
DNSサーバって「インターネットと社内の境界ネットワークの間」に位置していたり、
外部との通信も行っているから何かあったら危険なサーバなんです。
では、どうやったら対策できるか、具体的にみていきましょう。
CVE-2020-1350 の情報
マイクロソフトのブログによりますと、
どういった脆弱性かというと、次の3つのステップによってサーバが危険にさらされる。
- Windows DNSサーバが要求を適切に処理できない場合にリモートでコードが実行される
- ローカル システムのアカウントのコンテキストで任意のコードが実行される
- DNS サーバとして構成されている他のWindowsサーバが危険にさらされる
しかも、「リモートでコードが実行される (RCE)」DNSサーバの脆弱性で「ワーム拡散の可能性(wormable)」があるらしく、かなり深刻な脆弱性です。
ワーム拡散の可能ってことは、DNSサーバが汚染されると、他のDNSサーバへ伝播して社内環境へ影響がでるということです。
対応策は2つあります
2つ対応策がありますので、どちらか1つを行えば問題ないです。
◆1つ目の方法:累積パッチの適用
2020年7月の累積パッチ適用なのが一番おススメです。
理由としては、累積パッチにより他の不具合も修正され、結果的にセキュリティ向上が見込まれます。
しかし、難点があって、「サーバの再起動が必要」になってきます。
つまるところ、重要なサーバなので、夜間や業務時間外に再起動が実施されると思います。
累積パッチのダウンロード:
Windows Server 2019 ・・・ KB4558998
Windows Server 2016 ・・・ KB4565511
◆2つ目の方法:レジストリの値変更
レジストリ変更することで脆弱性を回避します。
どういった方法かというと、「許可される最大の受信 TCP ベースのDNS 応答パケットのサイズを制限する」とのことです。サーバ再起動は必要ないので対応しやすいです。
但し、レジストリの実装後には注意が必要です。
それは何かというと、
上位サーバーからの DNS 応答が 65280 バイトより大きい場合、
Windows DNS サーバーはクライアントの DNS 名を解決できなくなります。
以下のレジストリを変更して、DNSサービスを再起動します。
キー:
HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters
名前:
TcpReceivePacketSize
値:
0xFF00
既定 (最大) 値 = 0xFFFF
推奨値 = 0xFF00 (最大値より 255 バイト少ない)
レジストリ書き換えの場合、推奨値を超えるTCP ベースのDNS 応答パケットはエラーなしでドロップされるため、一部のクエリが応答されない可能性。
場合によっては、名前解決できなくなる可能性があるとのこと・・・
適用されるのは、自己判断・責任でお願いします。
スポンサードサーチ