Image: © NicoElNino - stock.adobe.com
Was kann passieren?
Ein Angreifer könnte die Lücke ausnutzen, um Code auszuführen. Auf diese Weise könnte sich jemand Domänenadministratorrechte verschaffen und Schadcode „wurmartig“ im LAN verteilen/verbreiten.
Voraussetzung, dass ein Angriff überhaupt stattfinden kann, ist Zugang zum Netz und das Senden von manipulierten DNS-Anfragen an den DNS-Server. Das kann man leider selten ausschließen, da oft hunderte verschiedene Geräte im Netz sind und eine 100%ige physische Abschottung des Netzes schwer zu erreichen ist.
Da diese Lücke seit 17 Jahren existiert, allerdings erst jetzt ein Exploit bekannt wurde, sind SEHR viele Server betroffen. Das gibt Angreifern lohnende Ziele, da die Chancen nicht schlecht stehen, ein Opfer, das nicht rechtzeitig reagiert hat, zu erwischen.
Was können Sie tun?
Kein Grund zur Sorge! Es gibt für jedes Betriebssystem einen Patch. Einfach aktuelle Windows-Patches installieren und alles wird gut. Kontrolliere aber am besten mit „Get-Hotfix“ (oder über die GUI „installierte Programme und Updates“), ob das KB-Update danach auch wirklich installiert ist.
Welches Update das ist, ist abhängig davon, welches Serverbetriebssystem du hast. Nachfolgend eine Liste mit den wichtigsten Serversystemen:
- Windows Server 2012 R2 – KB 4565541 oder KB4565540 (eines davon reicht; welches per Windows Update kommt, ist abhängig davon, ob „security only“ installiert ist oder nicht)
- Windows Server 2016 – KB 4565511
- Windows Server 2019 – KB 455899
Solltest du gerade kein Wartungsfenster bekommen und lieber erst einmal keinen Patch installieren wollen, gibt es einen Workaround über den Registry Key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00