Before the installation of Windows updates that were released on August 13, 2024, Windows Domain Name System (DNS) servers implicitly trusted the glue records. These records were used for recursion and to answer queries without first validating Name Server (NS) IP addresses (glue records). This default process will change once you install the updates released on or after August 13, 2024.

When will this happen: 

Windows updates released on or after August 13, 2024 contain hardening protections for CVE-2024-37968 | Windows DNS Spoofing Vulnerability. These protections trigger DNS servers to validate glue records returned by a parent domain before first use. 

 

What you need to do to prepare: 

We recommend taking the following actions:​​​​​​​

Additional information: 

The DNS Server Security hardening changes to address CVE-2024-37968 affect the following Windows versions:

2024 年 8 月 13 日にリリースされた Windows 更新プログラムをインストールする前は、Windows ドメイン ネーム システム (DNS) サーバーはグルー レコードを暗黙的に 信頼していました。これらのレコードは、再帰や、最初にネームサーバー (NS) の IP アドレス (グルーレコード) を検証せずにクエリに応答するために使用されました。この既定のプロセスは、2024 年 8 月 13 日以降にリリースされた更新プログラムをインストールすると変更されます。

これはいつ行われますか: 

2024 年 8 月 13 日以降にリリースされた Windows の更新プログラムには、CVE-2024-37968 に対する 強化保護が含まれています |Windows DNS のなりすましの脆弱性。これらの保護により、DNS サーバーは、親ドメインから返されたグルー レコードを最初に使用する前に検証します。 

 

準備するために必要なこと: 

次のアクションを実行することをお勧めします。

• 2024 年 8 月 13 日以降にリリースされた Windows 更新プログラムをインストールします。
• 親ドメインに登録されているグルー レコードが有効であり、権限のあるネーム サーバーによって提供されるデータと一致していることを確認します。
• 古いグルーレコード (古い、非アクティブな、または無効な IP アドレス) を削除または更新して、DNS クライアントクエリが予期しない結果を返さないようにします。
• これらの検証アクションは、環境内のすべてのドメインに対して実行します。最初に外部ドメインの検証を優先し、次に組織内の内部ドメインの検証を優先することをお勧めします。

• Windows Server バージョン 23H2
• Windows Server 2022 の場合
• Windows Server 2019 の場合
• Windows Server 2016 の場合
• Windows Server 2012 R2
• Windows Server 2012 の場合
• Windows Server 2008 R2 Service Pack 1 (英語)
• Windows Server 2008 SP2