A Microsoft divulgou a CVE-2020-1350 no servidor DNS do Windows. Más notícias: a vulnerabilidade alcançou 10 pontos na escala CVSS, o que significa que é crítica. Boas notícias: os cibercriminosos podem explorá-la apenas se o sistema estiver sendo executado no modo de servidor DNS; em outras palavras, o número de computadores potencialmente vulneráveis é relativamente pequeno. Além disso, a empresa já lançou patches e uma solução alternativa.
Qual é a vulnerabilidade e como ela é perigosa?
A CVE-2020-1350 permite que um cibercriminoso force os servidores DNS que executam o Windows Server um código malicioso remotamente. Em outras palavras, a vulnerabilidade pertence à classe RCE (execução remota de código, na sigla em inglês). Para explorar a CVE-2020-1350, basta enviar uma solicitação gerada para o servidor DNS.
Códigos de terceiros são executados no contexto da conta LocalSystem. Essa conta possui amplos privilégios no computador local e atua como um computador na rede. Além disso, o subsistema de segurança não reconhece a conta LocalSystem. Segundo a Microsoft, o principal perigo da vulnerabilidade é que ela pode ser usada para espalhar uma ameaça pela rede local; isto é, é classificado como wormable.
Quem está na zona de risco da CVE-2020-1350?
Todas as versões do Windows Server são vulneráveis, mas somente se executadas no modo de servidor DNS. Se a sua empresa não possui um servidor DNS ou utiliza um servidor DNS com base em um sistema operacional diferente, você não precisa se preocupar com isso.
Felizmente, a vulnerabilidade foi descoberta pela Check Point Research, e ainda não existem informações públicas sobre como explorá-la. Além disso, atualmente não há evidências de que a CVE-2020-1350 tenha sido explorada por invasores.
No entanto, é muito provável que, assim que a Microsoft recomendou a atualização do sistema, os cibercriminosos começaram a examinar servidores DNS vulneráveis e as patches lançadas para descobrir como explorar a vulnerabilidade. Por isso, ninguém deve demorar para fazer a instalação da patch.
Como proceder neste cenário?
Como mencionado acima, a melhor ação é instalar a patch da Microsoft, que modifica a maneira de lidar com solicitações dos servidores DNS. A patch está disponível para Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server versão 1903, Windows Server versão 1909 e Windows Server versão 2004. Você pode baixá-la na página da Microsoft dedicada a esta vulnerabilidade.
No entanto, algumas grandes empresas têm regras internas e uma rotina estabelecida para atualizações de software, e seus administradores de sistema podem não conseguir instalar a patch imediatamente. Para impedir que os servidores DNS sejam comprometidos nesses casos, a empresa também propôs uma solução alternativa. Isso envolve fazer as seguintes alterações no registro do sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
Após salvar as alterações, você precisará reiniciar o servidor. Observe que essa solução alternativa pode levar à operação incorreta do servidor, especialmente no caso do recebimento de um pacote TCP maior que 65.280 bytes; portanto, a Microsoft recomenda excluir a chave TcpReceivePacketSize e seu valor e retornar a entrada do registro ao estado original, uma vez que o patch será eventualmente instalada.
Da nossa parte, queremos lembrá-lo de que o servidor DNS em execução na sua infraestrutura é um computador, igual a qualquer outro ponto endpoint. Eles também podem ter vulnerabilidades que os cibercriminosos podem tentar explorar. Portanto, como qualquer outro terminal na rede, ele requer uma solução de segurança, como o Kaspersky Endpoint Security for Business.