微软发布了一个防止域名系统缓存中毒漏洞的指南
微软发布了一份关于如何缓解DNS缓存中毒漏洞的指南,加州大学和清华大学的安全研究人员对此进行了报告。
成功利用此漏洞可能使攻击者能够使用修改后的DNS记录将目标重定向到他们控制下的恶意网站,这是DNS欺骗(也称为DNS缓存中毒)攻击的一部分。
这种攻击的最终目的是利用设备或软件的漏洞,用恶意软件感染目标,或者通过网络钓鱼登录页面收集敏感信息。
影响多个Windows服务器平台
与Windows传输控制协议/互联网协议(TCP/IP)堆栈捆绑在一起的Windows DNS解析器软件组件中存在名为CVE-2020-25705的地址欺骗漏洞,代码为SAD DNS(侧信道攻击DNS)。
微软在本月周二补丁日发布的安全公告中解释:“微软意识到存在一个涉及IP碎片导致DNS缓存中毒的漏洞,将影响Windows DNS解析器。”
"成功利用此漏洞的攻击者可以欺骗由域名系统转发器或域名系统解析器缓存的域名系统数据包。"
SAD DNS被微软评为“重大”漏洞,仅影响Windows Server 2008 R2与Windows 10版本20H2(服务器核心安装)之间的Windows服务器平台。
CVE-2020-25705缓解方法
为了缓解此漏洞,Windows管理员可以更改注册表并将最大UDP数据包大小更改为1221字节,这有望防止任何试图在易受攻击的设备上利用它的DNS缓存中毒攻击。
为此,管理员需要执行以下步骤:
1.以管理员的身份管理regedit.exe。
2.在注册表编辑器中,输入hklm \ system \ current controlset \ services \ DNS \ parameters子项并设置以下参数:
值:MaximumUdpPacketSize
类型:DWORD
数据:1221
3.关闭注册表编辑器并重新启动DNS服务。
注册表更新后,域名解析器现在会将所有大于1221字节的响应更改为TCP,这将自动防止任何CVE-2020-25705攻击。
据发现SAD DNS的研究人员介绍,CVE-2020-25705还会影响Windows之外的其他操作系统,包括Linux、macOS和FreeBSD,以及其他DNS解析器,包括但不限于BIND、Unbound和dnsmasq。
今天,微软还发布了安全更新,以修复58个漏洞,这是2020年12月2日星期二修补日的一部分。其中,9个漏洞为高风险漏洞,48个为重大漏洞,2个为中度漏洞。