CVE-2020-1350 windowsサーバの脆弱性の概要と危険性
windowsサーバに対するヒープオーバーフローを利用したリモートコード実行可能な脆弱性です。
WindowsサーバがDNSサーバとして利用されているのであれば、windows sever 2003以降全てのバージョンが該当します。
CVSS 基本スコアは 10.0 となっています。
SIGRedという脆弱性名で呼ばれています。
ActiveDirectory(AD) にはDNSサービスが必須であり、通常ドメインコントローラー(DC)上で実行させているため、攻撃が成功した場合深刻な自体に陥る可能性があります。
CVE-2020-1350 windowsサーバの脆弱性の攻撃方法(PoC)の公開情報と攻撃用意性
攻撃コードPoCはgithubなどに公開されており、攻撃方法の入手は容易です。
CVE-2020-1350 windowsサーバの脆弱性の対処方法
パッチは出ておりますので公式に案内がありますが、DNSサーバ自体は再起動が必要です。
レジストリ変更による方法も示されていますが、こちらも再起動が必要です。(サーバの再起動を伴わない方法と紹介されながら、『レジストリの変更を有効にするには、DNS サービスを再起動する必要があります』と記載があります。あくまでもサーバ全体の再起動が伴わないという意味です。)
ただし、レジストリ変更の方法の場合、TCPパケットサイズによっては正しく処理されない可能性があるため可能な限りパッチ適用がよいでしょう。
変更するサブキー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
値: TcpReceivePacketSize
種類: DWORD
値のデータ: 0xFF00に変更する(元の値0xFFFF)
外部ネットワークからアクセスできないことがリスク切り分けになり、連休中や土日に更新を持ち越す判断もあるでしょう。
しかし、外からアクセスできないDNSサーバであってもIEなどではブラウザベースの攻撃方法が存在するため、もしIEの利用などがある場合などは深夜帯での更新等を考慮する必要があるかも知れません。
公式のマイクロソフトも止めろと言っているので、これを期にIEの利用を見直してみるのもありだと思います。
参考になれば幸いです。