Identificações de consulta previsível representam riscos de segurança para servidores DNS

Um invasor pode enviar uma consulta para um servidor DNS solicitando o endereço IP (por exemplo, www.microsoft.com). O servidor DNS envia uma consulta recursiva em nome do cliente em que ponto o invasor inunda o servidor DNS com respostas indicando o endereço IP (por exemplo, para www.microsoft.com poderá retornar 127.0.0.1,) ou qualquer outra resposta incorreta como desejado pelo invasor. O servidor DNS armazena em cache este resultado e consultas subseqüentes para este site retornar o endereço IP incorreto. A entrada de cache pode ser definida a ativos para um tempo arbitrariamente longo no cache e não é removida até que o servidor DNS seja redefinido.

O sistema de nome de domínio (DNS) é usado para resolver nomes com endereços IP e uma consulta DNS pode ser enviada para qualquer servidor DNS. Se o servidor não tem a resposta com autoridade para a consulta, ele pode solicitar outros servidores DNS na árvore do DNS para a resposta. Isso é chamado de uma consulta recursiva. O resultado de uma consulta recursiva é armazenado em cache pelo servidor DNS original para melhorar o desempenho. Um servidor DNS pode ter muitas consultas recursivas pendentes em qualquer um momento e cada consulta pendente é identificada por uma identificação de consulta.

Microsoft Windows NT (e muitos outros) servidores DNS usam uma seqüência previsível de consulta identificações ao resolver consultas recursivas. Se um invasor pode determinar o número de seqüência atual, eles podem determinar números de seqüência futuras. Conhecimento dos números de seqüência futuras ajuda a uma invasor inundação um servidor DNS com respostas falsas a consultas recursivas. Isso facilita um ataque "poluição de cache" realizar.

O Microsoft DNS Server foi modificado para usar IDs de consulta aleatório. Identificações de consulta aleatório reduzem a eficácia desse ataque de poluição do cache.

Para resolver esse problema, obtenha o service pack mais recente para o Windows NT 4.0 ou Windows NT Server 4.0, Terminal Server Edition. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Para sua conveniência, a versão em inglês deste hotfix pós-SP3 foi lançada no seguinte local de Internet. No entanto, a Microsoft recomenda que você instale o Windows NT 4.0 Service Pack 4 para corrigir esse problema.

A Microsoft confirmou que esse problema pode resultar em algum grau de vulnerabilidade de segurança no Windows NT versão 4.0. Esse problema foi corrigido primeiro no Windows NT 4.0 Service Pack 4.0 e Windows NT Server 4.0, Terminal Server Edition Service Pack 4.