CVE-2020-1350: falha em servidores DNS do Windows 

Microsoft lançou um patch para uma vulnerabilidade crítica de RCE nos sistemas com Windows Server. 

A Microsoft divulgou a CVE-2020-1350 no servidor DNS do Windows. Más notícias: a vulnerabilidade alcançou 10 pontos na escala CVSS, o que significa que é crítica. Boas notícias: os cibercriminosos podem explorá-la apenas se o sistema estiver sendo executado no modo de servidor DNS; em outras palavras, o número de computadores potencialmente vulneráveis ​​é relativamente pequeno. Além disso, a empresa já lançou patches e uma solução alternativa. 

Qual é a vulnerabilidade e como ela é perigosa? 

A CVE-2020-1350 permite que um cibercriminoso force os servidores DNS que executam o Windows Server um código malicioso remotamente. Em outras palavras, a vulnerabilidade pertence à classe RCE (execução remota de código, na sigla em inglês). Para explorar a CVE-2020-1350, basta enviar uma solicitação gerada para o servidor DNS. 

Códigos de terceiros são executados no contexto da conta LocalSystem. Essa conta possui amplos privilégios no computador local e atua como um computador na rede. Além disso, o subsistema de segurança não reconhece a conta LocalSystem. Segundo a Microsoft, o principal perigo da vulnerabilidade é que ela pode ser usada para espalhar uma ameaça pela rede local; isto é, é classificado como wormable. 

Quem está na zona de risco da CVE-2020-1350? 

Todas as versões do Windows Server são vulneráveis, mas somente se executadas no modo de servidor DNS. Se a sua empresa não possui um servidor DNS ou utiliza um servidor DNS com base em um sistema operacional diferente, você não precisa se preocupar com isso. 

Felizmente, a vulnerabilidade foi descoberta pela Check Point Research, e ainda não existem informações públicas sobre como explorá-la. Além disso, atualmente não há evidências de que a CVE-2020-1350 tenha sido explorada por invasores. 

No entanto, é muito provável que, assim que a Microsoft recomendou a atualização do sistema, os cibercriminosos começaram a examinar servidores DNS vulneráveis ​​e as patches lançadas para descobrir como explorar a vulnerabilidade. Por isso, ninguém deve demorar para fazer a instalação da patch. 

Como proceder neste cenário? 

Como mencionado acima, a melhor ação é instalar a patch da Microsoft, que modifica a maneira de lidar com solicitações dos servidores DNS. A patch está disponível para Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server versão 1903, Windows Server versão 1909 e Windows Server versão 2004. Você pode baixá-la na página da Microsoft dedicada a esta vulnerabilidade. 

No entanto, algumas grandes empresas têm regras internas e uma rotina estabelecida para atualizações de software, e seus administradores de sistema podem não conseguir instalar a patch imediatamente. Para impedir que os servidores DNS sejam comprometidos nesses casos, a empresa também propôs uma solução alternativa. Isso envolve fazer as seguintes alterações no registro do sistema: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters  
DWORD = TcpReceivePacketSize  
Value = 0xFF00 

Após salvar as alterações, você precisará reiniciar o servidor. Observe que essa solução alternativa pode levar à operação incorreta do servidor, especialmente no caso do recebimento de um pacote TCP maior que 65.280 bytes; portanto, a Microsoft recomenda excluir a chave TcpReceivePacketSize e seu valor e retornar a entrada do registro ao estado original, uma vez que o patch será eventualmente instalada. 

Da nossa parte, queremos lembrá-lo de que o servidor DNS em execução na sua infraestrutura é um computador, igual a qualquer outro ponto endpoint. Eles também podem ter vulnerabilidades que os cibercriminosos podem tentar explorar. Portanto, como qualquer outro terminal na rede, ele requer uma solução de segurança, como o Kaspersky Endpoint Security for Business. 

Dicas