CVE-2020-1350 Windows DNS サーバの脆弱性が見つかってパッチが提供されている

WindowsServer 不具合情報


Windows Server でのDNSサーバに脆弱性が存在していて、パッチが適用されています。

DNSサーバはシステムする際には重要なサーバなので、
脆弱性の攻撃されるとセキュリティが担保できなくなり危険です。

しかも、今回のアドバイザリによると
脆弱性の深刻度が「緊急」だそうです。

DNSサーバって「インターネットと社内の境界ネットワークの間」に位置していたり、
外部との通信も行っているから何かあったら危険なサーバなんです。

では、どうやったら対策できるか、具体的にみていきましょう。


CVE-2020-1350 の情報

マイクロソフトのブログによりますと、
どういった脆弱性かというと、次の3つのステップによってサーバが危険にさらされる。

  1. Windows DNSサーバが要求を適切に処理できない場合にリモートでコードが実行される
  2. ローカル システムのアカウントのコンテキストで任意のコードが実行される
  3. DNS サーバとして構成されている他のWindowsサーバが危険にさらされる

しかも、「リモートでコードが実行される (RCE)」DNSサーバの脆弱性で「ワーム拡散の可能性(wormable)」があるらしく、かなり深刻な脆弱性です。

ワーム拡散の可能ってことは、DNSサーバが汚染されると、他のDNSサーバへ伝播して社内環境へ影響がでるということです。


対応策は2つあります

2つ対応策がありますので、どちらか1つを行えば問題ないです。

◆1つ目の方法:累積パッチの適用

2020年7月の累積パッチ適用なのが一番おススメです。
理由としては、累積パッチにより他の不具合も修正され、結果的にセキュリティ向上が見込まれます。

しかし、難点があって、「サーバの再起動が必要」になってきます。
つまるところ、重要なサーバなので、夜間や業務時間外に再起動が実施されると思います。

累積パッチのダウンロード:
Windows Server 2019 ・・・ KB4558998
Windows Server 2016 ・・・ KB4565511

◆2つ目の方法:レジストリの値変更

レジストリ変更することで脆弱性を回避します。

どういった方法かというと、「許可される最大の受信 TCP ベースのDNS 応答パケットのサイズを制限する」とのことです。サーバ再起動は必要ないので対応しやすいです。

但し、レジストリの実装後には注意が必要です。

それは何かというと、
上位サーバーからの DNS 応答が 65280 バイトより大きい場合、
Windows DNS サーバーはクライアントの DNS 名を解決できなくなります。

以下のレジストリを変更して、DNSサービスを再起動します。
キー:
HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters

名前:
TcpReceivePacketSize

値:
0xFF00

既定 (最大) 値 = 0xFFFF
推奨値 = 0xFF00 (最大値より 255 バイト少ない)

レジストリ書き換えの場合、推奨値を超えるTCP ベースのDNS 応答パケットはエラーなしでドロップされるため、一部のクエリが応答されない可能性。

場合によっては、名前解決できなくなる可能性があるとのこと・・・
適用されるのは、自己判断・責任でお願いします。

スポンサードサーチ