[[356718]]

【51CTO.com快譯】微軟發布了有關如何緩解DNS緩存中毒漏洞的指南，加利福尼亞大學和清華大學的安全研究人員報告了該漏洞。

成功利用該漏洞可能使攻擊者可以使用修改過的DNS記錄，將目標重定向到他們控制的惡意網站，這是DNS欺騙(又叫DNS緩存中毒)攻擊的一部分。

這種攻擊的最終目的是利用設備或軟件的漏洞，使用惡意軟件感染目標，或者通過網絡釣魚登錄頁面收集敏感信息。

影響多個Windows服務器平臺

這個地址欺騙漏洞名為CVE-2020-25705，代號為SAD DNS(側通道攻擊DNS)，存在于與Windows傳輸控制協議/Internet協議(TCP / IP)堆棧捆綁在一起的Windows DNS解析器軟件組件中。

微軟在本月周二補丁日發布的一份安全公告中解釋：“微軟意識到有一個漏洞涉及IP碎片化引起的DNS緩存中毒，會影響Windows DNS解析器。”

“成功利用該漏洞的攻擊者可以欺騙由DNS轉發器或DNS解析器緩存的DNS數據包。”

SAD DNS被微軟評為是“重大”漏洞，它僅影響Windows Server 2008 R2和Windows 10版本20H2(服務器核心安裝)之間的Windows服務器平臺。

CVE-2020-25705緩解方法

為了緩解該漏洞，Windows管理員可以更改注冊表，將最大的UDP數據包大小更改為1221字節，這有望阻止任何企圖在易受攻擊的設備上利用它的DNS緩存中毒攻擊。

為此，管理員需要執行以下過程：

1. 以管理員身份運行regedit.exe。

2. 在注冊表編輯器中，進入到HKLM\SYSTEM\CurrentControlSet\Services\DNS\ Parameters子鍵，并設置以下參數：

值：MaximumUdpPacketSize

類型：DWORD

數據：1221

3. 關閉注冊表編輯器，重新啟動DNS服務。

注冊表更新后，DNS解析器現在針對大于1221字節的所有響應將改成TCP，自動阻止任何CVE-2020-25705攻擊。

據發現SAD DNS的研究人員聲稱，CVE-2020-25705還影響Windows之外的其他操作系統，包括Linux、macOS和FreeBSD，以及其他DNS解析器，包括但不限于BIND、Unbound和dnsmasq。

微軟今天還發布了安全更新以修復58個漏洞，這是2020年12月周二補丁日的一部分，其中9個漏洞是高危漏洞，48個是重大漏洞，2個是中度漏洞。

原文標題：Microsoft issues guidance for DNS cache poisoning vulnerability，作者：Sergiu Gatlan

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】