微软发布防范DNS缓存中毒漏洞的指南

　　微软发布了有关如何缓解DNS缓存中毒漏洞的指南，加利福尼亚大学和清华大学的安全研究人员报告了该漏洞。

　　成功利用该漏洞可能使攻击者可以使用修改过的DNS记录，将目标重定向到他们控制的恶意网站，这是DNS欺骗(又叫DNS缓存中毒)攻击的一部分。

　　这种攻击的最终目的是利用设备或软件的漏洞，使用恶意软件感染目标，或者通过网络钓鱼登录页面收集敏感信息。

　　影响多个Windows服务器平台

　　这个地址欺骗漏洞名为CVE-2020-25705，代号为SAD DNS(侧通道攻击DNS)，存在于与Windows传输控制协议/Internet协议(TCP / IP)堆栈捆绑在一起的Windows DNS解析器软件组件中。

　　微软在本月周二补丁日发布的一份安全公告中解释：“微软意识到有一个漏洞涉及IP碎片化引起的DNS缓存中毒，会影响Windows DNS解析器。”

　　“成功利用该漏洞的攻击者可以欺骗由DNS转发器或DNS解析器缓存的DNS数据包。”

　　SAD DNS被微软评为是“重大”漏洞，它仅影响Windows Server 2008 R2和Windows 10版本20H2(服务器核心安装)之间的Windows服务器平台。

　　CVE-2020-25705缓解方法

　　为了缓解该漏洞，Windows管理员可以更改注册表，将最大的UDP数据包大小更改为1221字节，这有望阻止任何企图在易受攻击的设备上利用它的DNS缓存中毒攻击。

　　为此，管理员需要执行以下过程：

　　1. 以管理员身份运行regedit.exe。

　　2. 在注册表编辑器中，进入到HKLM\SYSTEM\CurrentControlSet\Services\DNS\ Parameters子键，并设置以下参数：

　　值：MaximumUdpPacketSize

　　类型：DWORD

　　数据：1221

　　3. 关闭注册表编辑器，重新启动DNS服务。

　　注册表更新后，DNS解析器现在针对大于1221字节的所有响应将改成TCP，自动阻止任何CVE-2020-25705攻击。

　　据发现SAD DNS的研究人员声称，CVE-2020-25705还影响Windows之外的其他操作系统，包括Linux、macOS和FreeBSD，以及其他DNS解析器，包括但不限于BIND、Unbound和dnsmasq。

　　微软今天还发布了安全更新以修复58个漏洞，这是2020年12月周二补丁日的一部分，其中9个漏洞是高危漏洞，48个是重大漏洞，2个是中度漏洞。