null
CodeRed以来の久しぶりのWindowsサーバに致命的かつ重大なDNSサーバの脆弱性SigRedが登場しました。
連邦政府が最大をマークした脆弱性がやってきました!14日にこの脆弱性が公開されたので、たぶん来週にはツールが出回ります。
もうMetasploitとかのモジュールまでできちゃってて誰もが攻撃ツールに組み込んでやっているかも!Windowsサーバをインターネットで動かしている方は念のため確認ください。
CVE-2020-1350について
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

ーー以下の情報は以下のURLをもとに自動翻訳したものです。

いけりりおよび竹下は当情報によって生じた損失や損害について一切の責任を負いかねます。
また、情報の内容について一切の保証をいたしかねます。あくまで参考にしてください。https://support.microsoft.com/en-gb/help/4569509/windows-dns-server-remote-code-execution-vulnerability

KB4569509。DNSサーバの脆弱性CVE-2020-1350に関するガイダンス該当するもの

この記事は、特に以下の Windows サーバーのバージョンに適用されます。
Windows Server, バージョン 2004
Windows Server, バージョン1909
Windows Server、バージョン1903
Windows Server、バージョン1803
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008 R2 サービスパック 1
Windows Server 2008 サービスパック 2
Windows Server 2008 サービスパック 2
Windows Server 2008 サービスパック2

序章マイクロソフトは2020年7月14日、「CVE-2020-1350|Windows DNS Server Remote Code Execution Vulnerability」に記載されている問題のセキュリティアップデートをリリースしました。このアドバイザリでは、DNS サーバーの役割を実行するように構成された Windows サーバーに影響を与える Critical Remote Code Execution (RCE) の脆弱性について説明しています。サーバー管理者は、できるだけ早くこのセキュリティ更新プログラムを適用することを強くお勧めします。
レジストリベースの回避策を使用することで、影響を受けたWindowsサーバーを保護することができます。
この脆弱性は不安定であるため、管理者は、標準的な展開を使用してシステムを更新できるようにするために、セキュリティ更新を適用する前に回避策を実装する必要がある場合があります。

回避策 重要このセクションの手順に注意してください。レジストリを誤って修正すると、重大な問題が発生する可能性があります。変更する前に、問題が発生した場合に備えてレジストリをバックアップし、復元してください。
この脆弱性を回避するには、以下のレジストリを変更して、許可されている最大の受信TCPベースのDNS応答パケットのサイズを制限します。

レジストリエディタを起動してTCPで送られるDNSメッセージのサイズを制限します。

レジストリの場所
HKEY_LOCAL_MACHINE_SYSTEM\CurrentControlSet\Services\DNSParameters
キーの値 TcpReceivePacketSize
タイプ DWORD
値データ0xFF00
変更後 net stop dns、net start dnsコマンドでDNSサーバを再起動します。

注意事項デフォルト(最大値でもある)の値データ=0xFFFF。推奨される値データ = 0xFF00(最大値より255バイト少ない)。
レジストリの変更を有効にするには、DNSサービスを再起動する必要があります。これを行うには、昇格したコマンドプロンプトで以下のコマンドを実行します。net stop dns && net start dns
この問題を回避するための回避策をした後、アップストリーム サーバーからの DNS 応答が 65,280 バイトよりも大きい場合、Windows DNS サーバーはクライアントの DNS 名を解決できなくなります。
この回避策に関する重要な情報 TCPベースのDNS応答パケットは、推奨値を超えたものはエラーにならずにドロップされます。
そのため、一部のクエリが応答されない可能性があります。これにより、予期せぬ障害が発生する可能性があります。
DNS サーバーがこの回避策によって悪影響を受けるのは、以前のミティゲーションで許可された値(65,280 バイト以上)を超える有効な TCP 応答を受信した場合に限られます。
削減された値は、標準的な展開や再帰的なクエリに影響を与えることはありません。
ただし、特定の環境では非標準的なユースケースが存在する可能性があります。
サーバーの実装がこの回避策によって悪影響を受けるかどうかを判断するには、診断ロギングを有効にして、典型的なビジネス フローを代表するサンプル セットをキャプチャする必要があります。その後、ログ ファイルを確認して、異常に大きな TCP 応答パケットの存在を特定する必要があります。詳細については、DNS ロギングと診断を参照してください。