Microsoft publica pautas para mitigar la vulnerabilidad CVE-2020-25705

Las vulnerabilidades de envenenamiento de la caché de DNS permiten a los atacantes utilizar registros DNS modificados y redirigir a los usuarios a un dispositivo malicioso bajo su control para recopilar información confidencial. Afortunadamente, Microsoft emitió pautas para mitigar esta vulnerabilidad.

Investigadores de la Universidad de California y la Universidad de Tsinghua fueron los primeros en abordar la vulnerabilidad de suplantación, rastreada como CVE-2020-25705 y apodada SAD DNS (DNS AttackeD de canal lateral), que existe en los componentes del software de resolución de DNS de Windows. Estos componentes a menudo vienen incluidos con la pila de protocolos de Internet / Protocolo de control de transmisión de Windows.

SAD DNS afecta solo a las plataformas de servidor de Windows entre Windows Server 2008 y Windows 10, versión 20 H2. Microsoft lo califica como de gravedad importante. Esto es lo que explica la compañía sobre la vulnerabilidad en un aviso de seguridad publicado como parte del lanzamiento del parche de este mes:

“Microsoft es consciente de una vulnerabilidad que involucra el envenenamiento de la caché de DNS causada por la fragmentación de IP que afecta al solucionador de DNS de Windows. Un atacante que aproveche con éxito esta vulnerabilidad podría falsificar el paquete DNS que puede ser almacenado en caché por el reenviador de DNS o el solucionador de DNS”.

Mitigación de la vulnerabilidad CVE-2020-25705

Los administradores de Windows deben modificar su registro para cambiar el tamaño máximo de paquete UDP a 1221 bytes para bloquear los ataques de envenenamiento de la caché de DNS en cualquier dispositivo vulnerable. Aquí está la guía completa paso a paso:

  • Ejecute regedit.exe como administrador,
  • Navegue HKLM \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters en el Editor del registro y configure el parámetro como:
  1. Valor: MaximumUdpPacketSize
  2. Escriba: DWORD
  3. Datos: 1221
  • Luego, cierre el Editor del Registro.

Final del proceso, reinicie el servicio DNS. Inmediatamente después de la actualización del registro, el sistema de resolución de DNS cambiará automáticamente a TCP para las respuestas de los 1221 bytes y bloqueará los ataques CVE-2020-25705 automáticamente.