الملخص
مختصر
في مايو 19 ، 2020 ، أصدرت Microsoft الADV200009الاستشارية للامان. تصف هذه المقالة الاستشارية هجوما لاستخدام DNS الذي تم تحديده بواسطة شيكل ريسيرتشيرس. يمكن للهجوم ، المعروف باسم نكسنساتاك ، استهداف اي خادم DNS ، بما في ذلك Microsoft DNS وربط الخوادم المخولة لمنطقه DNS.
بالنسبة إلى خوادم DNS الموجودة علي إنترانت الخاصة بالشركة ، تقوم Microsoft بأسعار مخاطر هذا الاستغلال بالنقص. علي الرغم من ذلك ، فان خوادم DNS التي تتواجد علي شبكات edge هي عرضه لنكسنساتاك. يجب ترقيه خوادم DNS التي كانت موجودة بنظام التشغيل Windows Server 2016 والتي تتواجد علي شبكات edge إلى Windows Server 2016 أو الإصدارات الأحدث التي تدعم حد معدل الاستجابة (ررل). ررل يقلل تاثير التصغير عند استعلام محلل DNS المستهدف لملقمات DNS.
الأعراض
عند اجراء هجوم الزيادة في الاستخدام من DNS ، قد تلاحظ عرضا واحدا أو أكثر من الاعراض التالية علي خادم متاثر:
-
استخدام CPU ل DNS غير مقيد.
-
قد تتوقف زيادة وقت استجابه DNS والاستجابات.
-
يتم إنشاء عدد غير متوقع من استجابات نكسدومين بواسطة خادم المصادقة.
نظره عامه علي الهجوم
أصبحت خوادم DNS عرضه للتهديدات دائما إلى صفيف من الهجمات. لهذا السبب ، يتم بشكل عام وضع خوادم DNS خلف تحميل بالانسيرس وجدران الحماية في دمز.
لاستغلال هذه الثغرة الامنيه ، يجب ان يتوفر لدي المهاجم عملاء DNS متعددين. وبشكل عام ، يتضمن هذا بوتنيت الوصول إلى عشرات أو مئات من ريسولفيرس DNS التي قادره علي مع تحسين قدرت الهجوم وخدمه خادم DNS للمهاجم المتخصص.
المفتاح الخاص بالهجوم هو خادم DNS الخاص بالمهاجم المصمم بشكل خاص وهو مخول لمجال يملكه المهاجم. للحصول علي الهجوم بنجاح ، يجب ان يعرف DNS ريسولفيرس كيفيه الوصول إلى مجال المهاجم وخادم DNS. تستطيع هذه المجموعة ان تنشئ الكثير من الاتصالات بين الريسولفيرس المتكررة وخادم DNS الخاص بالضحية. النتيجة هي هجوم في DDoS.
ثغره أمنيه ل MS DNS علي شبكات المؤسسة المشتركة
داخلي ، لا يتم ريسولفابل المجالات الخاصة من خلال تلميحات الجذر وخوادم DNS لمجال المستوي الأعلى. عندما تتابع أفضل الممارسات ، لا يمكن الوصول إلى خوادم DNS المخولة للمجالات الداخلية الخاصة ، مثل مجالات Active Directory ، من الإنترنت.
علي الرغم من ان النكسنساتاك لمجال داخلي من الشبكة الداخلية ممكنة من التقني ، الا انه يتطلب مستخدما ضارا علي الشبكة الداخلية التي لديها حق الوصول علي مستوي المسؤول الاشاره إلى خوادم DNS في مجال المهاجم. يجب ان يتمكن هذا المستخدم أيضا من إنشاء منطقه ضاره علي الشبكة ووضع خادم DNS خاص يمكنه تنفيذ نكسنساتاك علي شبكه الشركة. سيقوم المستخدم الذي لديه هذا المستوي من الوصول بشكل عام بالستيالث علي الإعلان عن حاله الحضور الخاصة به عن طريق بدء هجوم أكثر وضوحا لنظام التشغيل DNS DDoS.
وجود ثغره أمنيه في MS DNS المواجه للحواف
يستخدم محلل DNS علي الإنترنت التلميحات الجذر وخوادم مجال المستوي الأعلى (تلد) لحل مجالات DNS غير المعروفة. يمكن للمهاجم استخدام نظام DNS العام هذا لاستخدام اي محلل DNS مواجه للإنترنت لتجربه نكسنساتاك. بعد اكتشاف الموجه التي تمت مطابقتها ، يمكن استخدامها كجزء من هجوم رفض الخدمة (DDoS) مقابل اي خادم DNS يستضيف مجال DNS عام (المجال الضحية).
يمكن استخدام خادم DNS الحافة الذي يعمل كمحلل أو معيد توجيه كخط متجه للهجوم إذا تم السماح لاستعلامات DNS الواردة التي تم إنشاؤها من الإنترنت. يسمح الوصول العام لعميل DNS خبيث باستخدام المحلل كجزء من هجوم الاستخدام الكلي.
يجب ان تسمح خوادم DNS المخولة للمجالات العامة بنقل بيانات DNS الواردة غير المرغوب فيها من ريسولفيرس التي تقوم بعمليات بحث متكررة من تلميحات الجذر والبنية الاساسيه تلد DNS. وبخلاف ذلك ، يفشل الوصول إلى المجال. يؤدي ذلك إلى ان كل خوادم DNS المخولة للمجال العام ستكون ممكنة فيكتيمس لنكسنساتاك. يجب ان تعمل خوادم Microsoft DNS المواجهة لاستخدام Windows Server 2016 أو إصدار أحدث للحصول علي دعم ررل.
الحل
لحل هذه المشكلة ، استخدم الأسلوب التالي لنوع الخادم المناسب.
بالنسبة إلى خوادم MS DNS التي تستند إلى إنترانت
مخاطر هذا الاستغلال منخفضه. مراقبه خوادم DNS الداخلية لنقل البيانات غير المعتاد. تعطيل النكسنساتاكيرس الداخلية الموجودة علي إنترانت الخاصة بالشركة عند اكتشافها.
بالنسبة إلى خوادم DNS المخولة المواجهة للحافه
تمكين ررل المعتمد بواسطة Windows Server 2016 والإصدارات الأحدث من Microsoft DNS. يؤدي استخدام ررل علي DNS ريسولفيرس إلى تصغير الهجوم الاولي. يؤدي استخدام ررل علي خادم DNS موثوق به لمجال عام إلى تقليل اي الخيارات التي يتم عكسها إلى محلل DNS. بشكل افتراضي ،تم تعطيل ررل. لمزيد من المعلومات حول ررل ، راجع المقالات التالية:
|
قم بتشغيل سيتدنسيرفيرريسبونسيراتيليميتينجPowerShell cmdlet لتمكين ررل باستخدام القيم الافتراضية. إذا ادي تمكين ررل إلى فشل استعلامات DNS الشرعية لأنه يتم التحكم فيها بشكل كبير جدا ، فقم بزيادة القيم لمعلمات الاستجابة/الثانيةوالأخطاء/الثانية فقط حتى يستجيب خادم DNS للاستعلامات الفاشلة مسبقا. قد تساعد المعلمات الأخرى أيضا المسؤولين علي أداره إعدادات ررل بشكل أفضل. تشمل هذه الإعدادات استثناءات ررل.
لمزيد من المعلومات ، راجع المقالة التالية من مستندات Microsoft:
المتداولة:
ربع: هل تنطبق التخفيف الذي تم تلخيصه هنا علي كل إصدارات Windows Server ؟
A1: لا. لا تنطبق هذه المعلومات علي Windows Server 2012 أو 2012 R2. لا تدعم هذه الإصدارات القديمة من Windows Server ميزه ررل التي تقلل تاثير التصغير عندما يستعلم محلل DNS المستهدف عن خوادم DNS.
ربع: ما الذي يجب ان يفعله العملاء إذا كان لديهم خوادم DNS موجودة علي شبكات edge التي تقوم بتشغيل اما Windows Server 2012 أو Windows Server 2012 R2 ؟
A2: ينبغي ترقيه خوادم DNS الموجودة علي الشبكات التي تعمل بنظام Windows Server 2012 أو Windows Server 2012 R2 إلى نظام التشغيل Windows Server 2016 أو إصدارات أحدث تدعم ررل. ررل يقلل تاثير التصغير عند استعلام محلل DNS المستهدف لملقمات DNS.
ربع: كيف يمكنني تحديد ما إذا كانت ررل ستؤدي إلى فشل استعلامات DNS الشرعية ؟
A3: إذا تم تكوين ررل إلى الوضع لوجونلي ، فان خادم DNS يقوم بكل حسابات ررل. ومع ذلك ، بدلا من اتخاذ إجراءات وقائية (مثل الإسقاط أو اقتطاع الاستجابات) ، يقوم الخادم بدلا من ذلك بتسجيل الإجراءات المحتملة كما لو كانت ررل ممكنة ، ثم يستمر في توفير الاستجابات العادية.
