در تاریخ نهم مارس ۲۰۲۱، مایکروسافت چندین راهنمای امنیتی برای Windows DNS Server منتشر کرد. در صورت آشکار شدن سرویسDNS ، پنج مورد از این آسیب‌پذیری‌ها به یک مهاجم از راه دور امکان اجرای کد بر روی هدف را می‌دهند. 
به گزارش مرکز مدیریت راهبردی افتا به نقل از شرکت مایکروسافت٬ این شرکت آسیب‌پذیریCVE-۲۰۲۱-۲۶۸۹۷  را بسیار مهم ارزیابی می‌کند (جزییات این مطالب در بخش منابع همین خبر قابل مطالعه است).
هیچ POC یا اکسپلویت مداوم از این آسیب‌پذیری‌ها هنوز عمومی نشده است. با این حال، به دلیل تأثیر احتمالی آسیب‌پذیری‌ها و با توجه به اینکه یک DNS سرور نیاز به فعال کردن dynamic updates دارد و جز پیکربندی پیش فرض آن است، توصیه می‌شود هرچه سریعتر وصله‌ها را اعمال کنید.
با فعال کردن Secure Zone Updates می‌توانید از حمله به اینترفیس‌های عمومی (اینترنت) محافظت کنید، اما در مقابل یک مهاجم داخل شبکه (رایانه متصل به دامنه) ایمن نیستید.
مایکروسافت توضیحات یکسان در مورد هر پنج آسیب‌پذیری دارد، با این حال مک آفی تجزیه و تحلیل فنی CVE-۲۰۲۱-۲۶۸۷۷  و CVE-۲۰۲۱-۲۶۸۹۷ را ارائه داده است.
آسیب‌پذیری (CVE-۲۰۲۱-۲۶۸۹۷) که توسط مایکروسافت حیاتی شناخته شده است، هنگامی ایجاد می‌شود که بسیاری از به‌روزرسانی‌های پویای Signature RRs به سرور DNS ارسال می‌شوند که منجر به نوشتن روی پشته می‌شود، قبل از نوشتن در فایل zone به‌روزرسانی‌ها با رشته‌های کدشده base۶۵ ترکیب می‌شوند.
سایر آسیب‌پذیری تحلیل شده (CVE-۲۰۲۱-۲۶۸۷۷) هنگامی که یک zone با TXT RR که طول TXT بیشتر از طول داده است به‌روز شود، ایجاد می‌شود.

محصولات تحت تأثیر

• Windows Server ۲۰۱۶
• Windows Server ۲۰۱۹
• Windows Server ۲۰۱۲ (including R۲)
• Windows Server ۲۰۰۸ (including R۲, R۲ SP۱ and R۲ SP۲)
• Windows Server, version ۲۰۰۴
• Windows Server, version ۱۹۰۹
• Windows Server, version ۲۰H۲

برای اکسپلویت، سرور باید رول DNS را فعال کرده باشد و Dynamic Update نیز فعال باشد. (پیکربندی پیش فرض).
توصیه ها
وصله‌ها را در اسرع وقت اعمال کنید. به‌روزرسانی‌ها در DNS سرورهای ویندوزی که سمت اینترنت قرار دارند، اولویت دارند.
راهکار
به منظور محدود کردن بهره‌برداری از آسیب‌پذیری‌ها، می‌توان مراحل زیر را انجام داد:
• غیرفعال کردن ویژگی Dynamic Update
• فعال کردن Secure Zone Updates برای محدود کردن اکسپلویت.

منابع:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-۲۰۲۱-۲۶۸۹۷

https://msrc.microsoft.com/update-guide/vulnerability/CVE-۲۰۲۱-۲۶۸۹۵

https://msrc.microsoft.com/update-guide/vulnerability/CVE-۲۰۲۱-۲۶۸۹۴

https://msrc.microsoft.com/update-guide/vulnerability/CVE-۲۰۲۱-۲۶۸۹۳

https://msrc.microsoft.com/update-guide/vulnerability/CVE-۲۰۲۱-۲۶۸۷۷

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/seven-windows-wonders-criticalvulnerabilities-in-dns-dynamic-updates/