ID de consulta previsível apresentar riscos de segurança para servidores de DNS

Um intruso pode enviar uma consulta para um servidor DNS pede o endereço IP (por exemplo, www.microsoft.com). O servidor DNS envia uma consulta recursiva no nome do cliente altura em que o intruso floods o servidor de DNS com as respostas que indica o endereço IP (por exemplo, para www.microsoft.com-poderá devolver 127.0.0.1,) ou qualquer outra resposta incorrecta conforme pretendido pelo intruso. O servidor de DNS coloca em cache este resultado e as consultas subsequentes para este site devolver o endereço IP incorrecto. A entrada de cache pode ser definida TTL para um tempo arbitrário longo na cache e não de é limpa até que o servidor de DNS é reposto.

O DNS é utilizado para resolver nomes com endereços IP e uma consulta de DNS pode ser enviada para qualquer servidor de DNS. Se o servidor não tiver a resposta autoritária à consulta, pode pedir a outros servidores de DNS na árvore de DNS para a resposta. Isto chama-se uma consulta recursiva. O resultado de uma consulta recursiva é colocada em cache pelo servidor DNS de origem para melhorar o desempenho. Um servidor de DNS pode ter várias consultas recursivas pendentes num determinado momento no tempo e cada consulta pendente é identificada por um ID de consulta.

Microsoft Windows NT (e muitos outros) servidores de DNS utilizam numa sequência previsível de consulta ID na resolução de consultas recursivas. Se um intruso conseguir determinar o número de sequência actual, podem determinar a números de sequência futuras. Conhecimentos de números de sequência futuras ajuda a um intruso flood um servidor DNS com fraudulentos respostas a consultas recursivas. Isto torna mais fácil efectuar um ataque por "a poluição da cache".

O servidor de DNS Microsoft foi alterado para utilizar o ID de consulta aleatório. ID de consulta aleatório reduzem a eficácia deste ataque de poluição da cache.

Para resolver este problema, obtenha o service pack mais recente do Windows NT 4.0 ou Windows NT Server 4.0, Terminal Server Edition. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Para sua conveniência, a versão inglesa desta correcção pós-SP3 foi registada a seguinte localização na Internet. No entanto, a Microsoft recomenda que instale o Windows NT 4.0 Service Pack 4 para corrigir este problema.

A Microsoft confirmou que este problema pode resultar num certo grau de vulnerabilidade da segurança no Windows NT versão 4.0. Este problema foi corrigido pela primeira vez no Windows NT 4.0 Service Pack 4.0 e Windows NT Server 4.0, Terminal Server Edition Service Pack 4.