Shrnutí
Abstraktní
Května 2020, společnost Microsoft vydala informační zpravodaj zabezpečení ADV200009. Tento informační zpravodaj popisuje zesílený útok DNS, který byl zjištěn izraelskými výzkumníky. Útok známý jako NXNSAttack může být zaměřen na libovolný server DNS, včetně serverů Microsoft DNS a BIND, které jsou autoritativní pro zónu DNS.
U serverů DNS, které se nacházejí v podnikových sítích intranet, společnost Microsoft tyto riziko zneužití nedoporučuje. Nicméně servery DNS, které jsou umístěné v hraničních sítích, jsou ohroženy NXNSAttack. Servery DNS systémů starší než Windows Server 2016 by měly být upgradovány na Windows Server 2016 nebo novější verze, které podporují limit rychlosti odpovědí (RRL). RRL zmenší zesílený efekt, když dotazy cíleného překládání DNS serveru DNS vytvoří.
Příznaky
Při pokusu o zesílení DNS můžete na příslušném serveru zjistit některé z následujících příznaků:
-
Využití procesoru pro DNS se zvyšuje.
-
Prodloužení doby odezvy DNS a odpovědi můžou být zastavené.
-
Váš ověřovací server generuje neočekávaný počet odpovědí na NXDOMAIN.
Přehled útoků
Servery DNS byly vždy zranitelné vůči poli útoků. Z tohoto důvodu jsou servery DNS obecně umístěny za moduly vyrovnávání zatížení a brány firewall v DMZ.
Aby mohl útočník tuto chybu zabezpečení zneužít, musel by mít několik klientů DNS. Obvykle by to zahrnovalo botnet, přístup k tucet nebo stovkám překladačů DNS, které mohou rozšiřovat útok a specializované služby serveru DNS.
Klíčem k útoku je speciálně vytvořený server DNS, který je autoritativní pro doménu, kterou útočník vlastní. Aby byl útok úspěšný, musí Překladač DNS vědět, jak se dostat k doméně a serveru DNS. Tato kombinace může způsobit velké množství komunikace mezi rekurzivními překladačemi a autoritativním serverem DNS oběti. Výsledkem je útok DDoS.
Chyba zabezpečení služby MS DNS v podnikových sítích intranet
Interní privátní domény se nedají přečíst prostřednictvím odkazů na kořenové servery a serverů DNS domény nejvyšší úrovně. Když dodržujete osvědčené postupy, nebudou servery DNS, které jsou autoritativní pro privátní, interní domény, jako jsou domény Active Directory, z Internetu dostupné.
Ačkoli je NXNSAttack interní domény z interní sítě technicky možná, vyžadoval by to, aby uživatel se zlými úmysly v interní síti s oprávněním správce nakonfiguroval interní servery DNS tak, aby ukazovaly na servery DNS v doméně útočníka. Tento uživatel musí také mít možnost vytvořit v síti škodlivou zónu a dát mu zvláštní server DNS, který je schopen NXNSAttack v podnikové síti. Uživatel, který má tuto úroveň přístupu, bude mít obvykle funkci utajení nad tím, že vyvolal vysoce viditelný útok DDoS DNS.
Chyba zabezpečení pro službu MS DNS s přístupem k okraji
Překladač DNS na Internetu používá odkazy na kořenové servery a servery domén nejvyšší úrovně (TLD) k překladu neznámých domén DNS. Útočník může použít tento veřejný systém DNS k vyzkoušení NXNSAttack zesílení pomocí překladače DNS pro Internet. Po zjištění zesíleného vektoru ho můžete použít jako součást útoku DOS (Denial of Service) na jakýkoli server DNS hostující veřejnou doménu DNS (oběť).
Hraniční server DNS, který slouží jako překladač nebo předávání, se dá použít jako zesílený vektor pro útok, pokud jsou povolené příchozí dotazy DNS pocházející z Internetu. Veřejný přístup umožňuje škodlivému klientovi DNS používat překladač jako součást celkového útoku na zesílení.
Autoritativní servery DNS pro veřejné domény musí povolit nevyžádané příchozí přenosy DNS z překladačů, které provádějí rekurzivní vyhledávání z odkazů na kořenové servery a infrastruktury DNS pro doménu TLD. V opačném případě selže přístup k doméně. To způsobí, že všechny servery DNS autoritativních veřejných domén budou být obětí NXNSAttack. Servery DNS společnosti Microsoft by měly používat Windows Server 2016 nebo novější verzi, aby získali podporu RRL.
Řešení
Tento problém vyřešíte pomocí následující metody příslušného typu serveru.
Pro servery MS DNS s přístupem k intranetu
Riziko tohoto zneužití je nízké. Monitorovat interní servery DNS pro neobvyklý provoz. Deaktivujte interní NXNSAttackers, které se nacházejí v podnikovém intranetu, jak jsou zjištěné.
Pro autoritativní servery DNS s celoplošným přístupem
Povolte RRL, který podporuje Windows Server 2016 a novější verze Microsoft DNS. Použití RRL v překladačích DNS minimalizuje počáteční zesílení útoků. Použití RRL ve veřejné doméně autoritativní server DNS snižuje jakékoli zesílení na překládání DNS. Ve výchozím nastaveníRRL je zakázán. Další informace o RRL najdete v následujících článcích:
|
Spuštěním rutiny SetDNSServerResponseRateLimitingPowerShellu povolte RRL pomocí výchozích hodnot. Pokud povolení RRL způsobí, že se nepodaří získat legitimní dotazy DNS, protože jsou omezené na příliš těsné hodnoty, postupně zvyšte hodnotu parametru Response/SEKa chyby/sec , dokud server DNS neodpoví na dřívější neúspěšné dotazy. Správci můžou lépe spravovat nastavení RRL. Tato nastavení zahrnují výjimky RRL.
Další informace najdete v následujícím článku o dokumentech Microsoftu:
Časté dotazy
Otázka č. čtvrtletí: Toto snížení rizika se vztahuje na všechny verze systému Windows Server?
A1: Ne. Tyto informace se nevztahují na Windows Server 2012 nebo 2012 R2. Tyto starší verze Windows serveru nepodporují funkci RRL, která snižuje zesílený efekt, když dotazy zaměřené na překládání DNS servery DNS snižují.
Q2: co by zákazníci měli dělat, pokud mají servery DNS, které se nacházejí na Windows Serveru 2012 nebo Windows Serveru 2012 R2?
A2: Servery DNS, které se nacházejí v hraničních sítích s Windows Serverem 2012 nebo Windows Server 2012 R2, by měly být upgradovány na Windows Server 2016 nebo novější verze, které podporují RRL. RRL zmenší zesílený efekt, když dotazy cíleného překládání DNS serveru DNS vytvoří.
Q3: Jak můžu zjistit, jestli RRL nefunguje pro legitimní dotazy DNS?
A3: Pokud je RRL nakonfigurovaný na přihlašovací režim, server DNS provede všechny výpočty RRL. Namísto přijímání preventivních akcí (jako je vyřazení nebo zkracování odpovědí) místo toho Server zaznamená potenciální akce, jako kdyby RRL, a pak pokračuje v poskytování obvyklých odpovědí.