{"id":15766,"date":"2020-07-22T20:51:34","date_gmt":"2020-07-22T23:51:34","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15766"},"modified":"2020-07-22T21:03:20","modified_gmt":"2020-07-23T00:03:20","slug":"cve-2020-1350-dns-rce","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1350-dns-rce\/15766\/","title":{"rendered":"CVE-2020-1350:\u00a0falha\u00a0em\u00a0servidores\u00a0DNS\u00a0do Windows\u00a0"},"content":{"rendered":"

A Microsoft divulgou a CVE-2020-1350 no servidor DNS do Windows. M\u00e1s not\u00edcias: a vulnerabilidade alcan\u00e7ou 10 pontos na escala CVSS, o que significa que \u00e9 cr\u00edtica. Boas not\u00edcias: os cibercriminosos podem explor\u00e1-l<\/span>a<\/span>\u00a0apenas se o sistema estiver sendo executado no modo de servidor DNS; em outras palavras, o n\u00famero de computadores potencialmente vulner\u00e1veis \u200b\u200b\u00e9 relativamente pequeno. Al\u00e9m disso, a empresa j\u00e1\u00a0<\/span>lan\u00e7ou patches e uma solu\u00e7\u00e3o alternativa<\/span><\/a>.<\/span>\u00a0<\/span><\/p>\n

Qual \u00e9 a vulnerabilidade e como ela \u00e9 perigosa?<\/span>\u00a0<\/span><\/h2>\n

A CVE-2020-1350 permite que um\u00a0<\/span>cibercriminoso<\/span>\u00a0force os servidores DNS que executam o Windows Server um c\u00f3digo malicioso remotamente. Em outras palavras, a vulnerabilidade pertence \u00e0\u00a0<\/span>classe RCE<\/span><\/a>\u00a0(execu\u00e7\u00e3o remota de c\u00f3digo, na sigla em ingl\u00eas). Para explorar a CVE-2020-1350, basta enviar uma solicita\u00e7\u00e3o gerada\u00a0<\/span>para o<\/span>\u00a0servidor DNS.<\/span>\u00a0<\/span><\/p>\n

C\u00f3digos de terceiros s\u00e3o executados no contexto da conta\u00a0<\/span>LocalSystem<\/span>. Essa conta possui amplos privil\u00e9gios no computador local e atua como um computador na rede. Al\u00e9m disso, o subsistema de seguran\u00e7a n\u00e3o reconhece a conta\u00a0<\/span>LocalSystem<\/span>. Segundo a Microsoft, o principal perigo da vulnerabilidade \u00e9 que ela pode ser usada para espalhar uma amea\u00e7a pela rede local; isto \u00e9, \u00e9 classificado como\u00a0<\/span>wormable<\/span><\/i>.<\/span>\u00a0<\/span><\/p>\n

Quem est\u00e1 na zona de risco da CVE-2020-1350?<\/span>\u00a0<\/span><\/h2>\n

Todas as vers\u00f5es do Windows Server s\u00e3o vulner\u00e1veis, mas somente se executadas no modo de servidor DNS. Se a sua empresa n\u00e3o possui um servidor DNS ou utiliza um servidor DNS com base em um sistema operacional diferente, voc\u00ea n\u00e3o precisa se preocupar com isso.<\/span>\u00a0<\/span><\/p>\n

Felizmente, a vulnerabilidade foi descoberta pela <\/span>Check<\/span>\u00a0Point\u00a0<\/span>Research<\/span>, e ainda n\u00e3o existem informa\u00e7\u00f5es p\u00fablicas sobre como explor\u00e1-la. Al\u00e9m disso, atualmente n\u00e3o h\u00e1 evid\u00eancias de que a CVE-2020-1350 tenha sido explorada por invasores.<\/span>\u00a0<\/span><\/p>\n

No entanto, \u00e9 muito prov\u00e1vel que, assim que a Microsoft recomendou a atualiza\u00e7\u00e3o do sistema, os cibercriminosos come\u00e7aram a examinar servidores DNS vulner\u00e1veis \u200b\u200be <\/span>as<\/span>\u00a0patches lan\u00e7ad<\/span>a<\/span>s para descobrir como explorar a vulnerabilidade. Por isso, ningu\u00e9m deve demorar para fazer a instala\u00e7\u00e3o d<\/span>a<\/span>\u00a0patch.<\/span>\u00a0<\/span><\/p>\n

Como proceder neste cen\u00e1rio?<\/span>\u00a0<\/span><\/h2>\n

Como mencionado acima, a melhor a\u00e7\u00e3o \u00e9 instalar <\/span>a<\/span>\u00a0patch da Microsoft, que modifica\u00a0<\/span>a maneira de<\/span>\u00a0lidar com solicita\u00e7\u00f5es dos servidores DNS.\u00a0<\/span>A<\/span>\u00a0patch est\u00e1 dispon\u00edvel para Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server vers\u00e3o 1903, Windows Server vers\u00e3o 1909 e Windows Server vers\u00e3o 2004. Voc\u00ea pode baix\u00e1-l<\/span>a<\/span>\u00a0na\u00a0<\/span>p\u00e1gina da Microsoft dedicada a esta vulnerabilidade<\/span><\/a>.<\/span>\u00a0<\/span><\/p>\n

No entanto, algumas grandes empresas t\u00eam regras internas e uma rotina estabelecida para atualiza\u00e7\u00f5es de software, e seus administradores de sistema podem n\u00e3o conseguir instalar <\/span>a<\/span>\u00a0patch imediatamente. Para impedir que os servidores DNS sejam comprometidos nesses casos, a empresa tamb\u00e9m prop\u00f4s uma solu\u00e7\u00e3o alternativa. Isso envolve fazer as seguintes altera\u00e7\u00f5es no registro do sistema:<\/span>\u00a0<\/span><\/p>\n

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\DNS\\Parameters\u00a0\u00a0<\/em>
\nDWORD =\u00a0TcpReceivePacketSize\u00a0\u00a0<\/em>
\nValue\u00a0= 0xFF00<\/em>\u00a0<\/span><\/p>\n

Ap\u00f3s salvar as altera\u00e7\u00f5es, voc\u00ea precisar\u00e1 reiniciar o servidor. Observe que essa solu\u00e7\u00e3o alternativa pode levar \u00e0 opera\u00e7\u00e3o incorreta do servidor, <\/span>especialmente no caso do recebimento<\/span>\u00a0<\/span>de<\/span>\u00a0um pacote TCP maior que 65.280 bytes; portanto, a Microsoft recomenda excluir a chave\u00a0<\/span>TcpReceivePacketSize<\/span>\u00a0e seu valor e retornar a entrada do registro ao estado original, uma vez que o patch ser\u00e1 eventualmente instalad<\/span>a<\/span>.<\/span>\u00a0<\/span><\/p>\n

Da nossa parte, queremos lembr\u00e1-lo de que o servidor DNS em execu\u00e7\u00e3o na sua infraestrutura \u00e9 um computador, igual a qualquer outro ponto <\/span>endpoint<\/span>. Eles tamb\u00e9m podem ter vulnerabilidades que os cibercriminosos podem tentar explorar. Portanto, como qualquer outro terminal na rede, ele requer uma solu\u00e7\u00e3o de seguran\u00e7a, como o Kaspersky\u00a0Endpoint\u00a0Security for Business<\/a><\/span>.<\/span>\u00a0<\/span><\/p>\n\n","protected":false},"excerpt":{"rendered":"

Microsoft lan\u00e7ou um patch para uma vulnerabilidade cr\u00edtica de RCE nos sistemas com Windows Server.\u00a0<\/p>\n","protected":false},"author":2581,"featured_media":15767,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[14],"tags":[1185,822,22,1931,240],"class_list":{"0":"post-15766","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-business","9":"tag-dns","10":"tag-microsoft","11":"tag-patch","12":"tag-vulnerabilidade"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1350-dns-rce\/15766\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2020-1350-dns-rce\/21562\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/17025\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/8438\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/22822\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2020-1350-dns-rce\/21013\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/19661\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2020-1350-dns-rce\/23491\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1350-dns-rce\/22334\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2020-1350-dns-rce\/28735\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cve-2020-1350-dns-rce\/8588\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/36366\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1350-dns-rce\/15293\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cve-2020-1350-dns-rce\/13690\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2020-1350-dns-rce\/24721\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cve-2020-1350-dns-rce\/28829\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/cve-2020-1350-dns-rce\/25687\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2020-1350-dns-rce\/22591\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2020-1350-dns-rce\/27846\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2020-1350-dns-rce\/27682\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15766","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=15766"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15766\/revisions"}],"predecessor-version":[{"id":15768,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15766\/revisions\/15768"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/15767"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=15766"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=15766"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=15766"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}