Zusammenfassung
Zusammenfassung
Am 19. Mai 2020 veröffentlichte Microsoft die Sicherheitsempfehlung ADV200009. Diese Empfehlung beschreibt einen DNS-Verstärkungsangriff, der von israelischen Forschern identifiziert wurde. Dieser Angriff, der als NXNSAttack bezeichnet wird, kann auf jeden DNS-Server abzielen, einschließlich Microsoft DNS- und BIND-Server, die für eine DNS-Zone autorisierend sind.
Bei DNS-Servern, die sich in Intranets von Unternehmen befinden, schätzt Microsoft das Risiko eines solchen Angriffs als gering ein. DNS-Server, die sich in Edge-Netzwerken befinden, sind jedoch anfällig für NXNSAttack. DNS-Server, auf denen eine ältere Version als Windows Server 2016 läuft und die sich in Edge-Netzwerken befinden, sollten auf Windows Server 2016 oder neuere Versionen aktualisiert werden, die das Response Rate Limit (RRL) unterstützen. RRL reduziert den Verstärkungseffekt, wenn eine zielgerichtete DNS-Auflösung Ihre DNS-Server abfragt.
Problembeschreibung
Wenn ein DNS-Verstärkungsangriff durchgeführt wird, können Sie möglicherweise eines oder mehrere der folgenden Symptome auf einem betroffenen Server beobachten:
-
Die CPU-Auslastung für DNS ist erhöht.
-
Die DNS-Antwortzeiten nehmen zu, und die Antworten können aufhören zu funktionieren.
-
Von Ihrem Authentifizierungsserver wird eine unerwartete Anzahl von NXDOMAIN-Antworten generiert.
Übersicht des Angriffs
DNS-Server waren schon immer anfällig für eine Reihe von Angriffen. Aus diesem Grund werden DNS-Server in der Regel hinter Load Balancern (Lastenausgleichern) und Firewalls in einer DMZ platziert.
Um diese Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer über mehrere DNS-Clients verfügen. In der Regel wird ein solcher Angriff ein Botnet, einen Zugriff auf Dutzende oder Hunderte von DNS-Auflösungen, die in der Lage sind, den Angriff zu verstärken, und einen speziellen Angreifer-DNS-Serverdienst umfassen.
Der Schlüssel zum Angriff ist der speziell erstellte DNS-Server des Angreifers, der für eine Domäne, die dem Angreifer gehört, autorisierend ist. Damit der Angriff erfolgreich ist, müssen die DNS-Auflösungen wissen, wie sie die Domäne und den DNS-Server des Angreifers erreichen. Diese Kombination kann viel Kommunikation zwischen den rekursiven Resolvern und dem autorisierenden DNS-Server des Opfers erzeugen. Das Ergebnis ist ein DDoS-Angriff.
Sicherheitsanfälligkeit für MS DNS in Intranets von Unternehmen
Interne, private Domänen können nicht über Root-Hinweise und DNS-Server der obersten Ebene aufgelöst werden. Wenn Sie die bewährten Methoden befolgen, sind DNS-Server, die für private, interne Domänen wie Active Directory-Domänen autorisierend sind, nicht über das Internet erreichbar.
Ein NXNSAttack einer internen Domäne aus dem internen Netzwerk ist zwar technisch möglich, würde jedoch für einen böswilligen Benutzer im internen Netzwerk, der über Administratorzugriff verfügt, erfordern, interne DNS-Server so zu konfigurieren, dass sie auf DNS-Server in der Angreiferdomäne verweisen. Dieser Benutzer muss auch in der Lage sein, eine bösartige Zone im Netzwerk zu erstellen und einen speziellen DNS-Server zu setzen, der in der Lage ist, den NXNSAttack im Unternehmensnetzwerk auszuführen. Ein Benutzer, der über diese Zugriffsebene verfügt, bevorzugt in der Regel Trojaner gegenüber der Ankündigung seiner Anwesenheit, indem er einen gut sichtbaren DNS-DDoS-Angriff einleitet.
Sicherheitsanfälligkeit bei MS DNS mit Edge-Blick
Eine DNS-Auflösung im Internet verwendet Root-Hinweise und TLD-Server (Top-Level Domain), um unbekannte DNS-Domänen aufzulösen. Ein Angreifer kann dieses öffentliche DNS-System verwenden, um eine beliebige DNS-Auflösung mit Internetanschluss dazu zu nutzen, eine NXNSAttack-Verstärkung zu versuchen. Nachdem ein Verstärkungsvektor entdeckt wurde, kann er als Teil eines Denial-of-Service-Angriffs (DDoS) gegen jeden DNS-Server verwendet werden, der eine öffentliche DNS-Domäne (die Opferdomäne) hostet.
Ein Edge-DNS-Server, der als Auflösung oder Weiterleitung fungiert, kann als Verstärkungsvektor für den Angriff verwendet werden, wenn unerwünschte eingehende DNS-Abfragen, die aus dem Internet stammen, zulässig sind. Der öffentliche Zugriff ermöglicht es einem böswilligen DNS-Client, die Auflösung als Teil des gesamten Verstärkungsangriffs zu verwenden.
Autorisierende DNS-Server für öffentliche Domänen müssen unerwünschten eingehenden DNS-Datenverkehr von Auflösungen zulassen, die rekursive Suchanfragen über die Root-Hinweise und die TLD-DNS-Infrastruktur erstellen. Andernfalls schlägt der Zugriff auf die Domäne fehl. Dadurch werden alle autorisierenden DNS-Server für öffentliche Domänen zu möglichen Opfern eines NXNSAttack. Microsoft DNS-Server mit Edge-Zugriff sollten unter Windows Server 2016 oder einer neueren Version laufen, um RRL-Unterstützung zu erhalten.
Fehlerbehebung
Verwenden Sie die folgende Methode für den entsprechenden Servertyp, um dieses Problem zu beheben.
Für Intranet-zugewandte MS-DNS-Server
Das Risiko dieses Exploits ist gering. Überwachen Sie interne DNS-Server auf ungewöhnlichen Datenverkehr. Deaktivieren Sie interne NXNSAttackers, die sich in Ihrem Unternehmens-Intranet befinden, sobald diese erkannt werden.
Für Edge-zugewandte autorisierende DNS-Server
Aktivieren Sie RRL, das von Windows Server 2016 und neueren Versionen von Microsoft DNS unterstützt wird. Die Verwendung von RRL auf DNS-Auflösung minimiert die Verstärkung des anfänglichen Angriffs. Die Verwendung von RRL auf einem autorisierenden DNS-Server für öffentliche Domänen reduziert alle Verstärkungen, die an den DNS-Resolver zurückgesendet werden. Standardmäßig ist RRL deaktiviert. Weitere Informationen zu RRL finden Sie in den folgenden Artikeln:
|
Führen Sie das PowerShell-Cmdlet SetDNSServerResponseRateLimiting aus, um RRL mit Standardwerten zu aktivieren. Wenn die Aktivierung von RRL dazu führt, dass legitime DNS-Abfragen fehlschlagen, weil sie zu stark gedrosselt werden, erhöhen Sie die Werte für die Parameter Antworten/Sek. und Fehler/Sek. stufenweise, aber nur so lange, bis der DNS-Server auf zuvor fehlgeschlagene Abfragen reagiert.
Andere Parameter können Administratoren ebenfalls dabei helfen, RRL-Einstellungen besser zu verwalten. Zu diesen Einstellungen gehören RRL-Ausnahmen.
Sie finden weitere Informationen in dem folgenden Microsoft-Dokumentations-Artikel:
Häufig gestellte Fragen
F1: Gilt die hier zusammengefasste Abhilfe für alle Versionen von Windows Server?
A1: Nein. Diese Informationen gelten nicht für Windows Server 2012 oder 2012 R2. Diese älteren Versionen von Windows Server unterstützen die RRL-Funktion nicht, die den Verstärkungseffekt verringert, wenn eine zielgerichtete DNS-Auflösung Ihre DNS-Server abfragt.
F2: Was sollten Kunden tun, wenn sie über DNS-Server verfügen, die sich in Edge-Netzwerken befinden, auf denen entweder Windows Server 2012 oder Windows Server 2012 R2 läuft?
A2: DNS-Server, die sich in Edge-Netzwerken befinden, auf denen entweder Windows Server 2012 oder Windows Server 2012 R2 läuft, sollten auf Windows Server 2016 oder neuere Versionen aktualisiert werden, die RRL unterstützen. RRL reduziert den Verstärkungseffekt, wenn eine zielgerichtete DNS-Auflösung Ihre DNS-Server abfragt.
F3: Wie kann ich feststellen, ob RRL dazu führt, dass legitime DNS-Abfragen fehlschlagen?
A3: Wenn der Modus des RRL als LogOnly konfiguriert ist, führt der DNS-Server alle RRL-Berechnungen durch. Anstatt jedoch präventive Maßnahmen zu ergreifen (z. B. das Löschen oder Abbrechen von Antworten), protokolliert der Server stattdessen die potenziellen Aktionen, als ob das RRL aktiviert wäre, und stellt dann weiterhin die üblichen Antworten bereit.
