脆弱性 CVE-2020-1350 (KB4569509)について

久々にインパクトの大きい脆弱性が公表されました。

CVE-2020-1350 | Windows DNSサーバーにリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

KB4569509:DNSサーバーの脆弱性に関するガイダンスCVE-2020-1350
https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability


【対象】
インパクトは大きいですが対象は限定されます。
DNSクライアントは影響を受けないので通常のPCやサーバは対象外です。
DNSサーバが動いているWindowsだけです。
ざっくり分類すると以下の3つでしょうか。

1.WindowsのDNSサービスを公開している(主にインターネット事業者)
 Microsoftのクラウドなどでは採用しているかも知れませんが、インターネット上ではDNSはシンプルなUNIXベースなものが多いので対象は少ないと思われます。
 もし対象であれば最優先で対処が必要でしょう。

2.WindowsのDNSサービスを限定された範囲で利用している(インターネット上のサービス事業者など)

3.WindowsのDNSサービスを社内インフラで利用している(社内IT部門など)
 一番多いのはこれでしょう。


2.3.ともに外部からの直接攻撃は受けませんが、社内のPCが怪しいプログラムを実行させられて~からの内部のDNSサーバが乗っ取られ~までありそうなので早急に対処は必要でしょう。

特に ActiveDirectory(AD) にはDNSサービスが必須であり、通常ドメインコントローラー(DC)上で実行させているため攻撃を受けた場合の被害は大きいです。
サーバ/PCの多い環境ではまずADが導入されていると思うので全国のIT管理者の方々には「必至のパッチ」になりそうです。



【対処方法】
(a)リリースされたパッチを適用する(要OS再起動?)
または暫定対応として
(b)レジストリを編集してDNS応答パケットのサイズを制限する(DNSサービス再起動)
レジストリ編集の詳細は冒頭のリンク先を参照してください。

ADが利用しているDNSは、ADの同期、サーバ間通信や認証、クラスタシステム等、様々なサービスに影響する上、DC上で実行されている事が多いため、OS再起動の場合は影響を考慮する必要があります。
DNSサービスの再起動だけなら短時間で済み影響は少ないでしょう。



【今回のキーワード】
CVE-2020-1350
KB4569509
Windows
DNS

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント