Microsoft veröffentlicht Richtlinien zur Minderung der Sicherheitsanfälligkeit in CVE-2020-25705

Durch Exploits von DNS-Cache-Vergiftungsschwachstellen können Angreifer geänderte DNS-Einträge verwenden und Benutzer an einen von ihnen kontrollierten Schadstoff weiterleiten, um vertrauliche Informationen zu sammeln. Zum Glück hat Microsoft Richtlinien herausgegeben, um diese Sicherheitsanfälligkeit zu verringern.

Forscher der University of California und der Tsinghua University waren die ersten, die sich mit der Spoofing-Sicherheitsanfälligkeit befassten – verfolgt als CVE-2020-25705 und mit dem Spitznamen SAD DNS (Side-Channel AttackeD DNS) -, die in Windows DNS Resolver-Softwarekomponenten vorhanden ist. Diese Komponenten werden häufig mit dem Windows Transmission Control Protocol / Internet Protocol Stack geliefert.

SAD DNS betrifft nur Windows Server-Plattformen zwischen Windows Server 2008 und Windows 10, Version 20 H2. Es wird von Microsoft als wichtiger Schweregrad eingestuft. In einem Sicherheitshinweis, der im Rahmen der Patch-Version dieses Monats veröffentlicht wurde, erklärt das Unternehmen Folgendes zu der Sicherheitsanfälligkeit:

„Microsoft ist eine Sicherheitsanfälligkeit bekannt, bei der eine DNS-Cache-Vergiftung durch IP-Fragmentierung auftritt, die sich auf Windows DNS Resolver auswirkt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann das DNS-Paket fälschen, das vom DNS-Forwarder oder vom DNS-Resolver zwischengespeichert werden kann.“

Minderung der Sicherheitsanfälligkeit CVE-2020-25705

Die Windows-Administratoren sollten ihre Registrierung ändern, um die maximale UDP-Paketgröße auf 1.221 Byte zu ändern, um Angriffe auf DNS-Cache-Vergiftungen auf anfälligen Geräten zu blockieren. Hier ist die vollständige schrittweise Anleitung:

  • Führen Sie regedit.exe als Administrator aus.
  • Navigieren Sie im Registrierungseditor zu HKLM \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters und legen Sie den Parameter wie folgt fest:
  1. Wert: MaximumUdpPacketSize
  2. Geben Sie Folgendes ein: DWORD
  3. Daten: 1221
  • Schließen Sie dann den Registrierungseditor.

Starten Sie den DNS-Dienst am Ende des Vorgangs neu. Unmittelbar nach dem Registrierungsupdate wechselt der DNS-Resolver automatisch zu TCP, um Antworten auf alle 1.221 Byte zu erhalten, und blockiert die CVE-2020-25705-Angriffe automatisch.