Σύνοψη
Αφηρημένη
Στις 19 Μαΐου, 2020, η Microsoft κυκλοφόρησε το συμβουλευτικό δελτίο ασφαλείας ADV200009. Αυτό το συμβουλευτικό δελτίο περιγράφει μια επίθεση ενίσχυσης DNS που εντοπίστηκε από Ισραηλινούς ερευνητές. Η επίθεση, γνωστή ως NXNSAttack, μπορεί να στοχεύσει οποιονδήποτε διακομιστή DNS, συμπεριλαμβανομένων των διακομιστών DNS και BIND της Microsoft που είναι επιτακτικούς για μια ζώνη DNS.
Για τους διακομιστές DNS που βρίσκονται σε εταιρικά intranet, το Microsoft συντελεί τον κίνδυνο αυτής της εκμετάλλευσης ως χαμηλής τιμής. Ωστόσο, οι διακομιστές DNS που βρίσκονται στα δίκτυα Edge είναι ευάλωτοι στο NXNSAttack. Οι διακομιστές DNS του pre-Windows Server 2016 που βρίσκονται στα δίκτυα Edge πρέπει να αναβαθμιστούν σε Windows Server 2016 ή νεότερες εκδόσεις που υποστηρίζουν το όριο ποσοστού απόκρισης (RRL). Το RRL μειώνει το εφέ ενίσχυσης όταν μια στοχευμένη επίλυση DNS θέτει σε ερώτημα τους διακομιστές DNS.
Συμπτώματα
Όταν γίνεται επίθεση ενίσχυσης DNS, ενδέχεται να παρατηρήσετε ένα ή περισσότερα από τα παρακάτω συμπτώματα σε έναν επηρεαζόμενο διακομιστή:
-
Η χρήση της CPU για το DNS είναι αναβαθμισμένη.
-
Οι χρόνοι απόκρισης DNS αυξάνονται και οι απαντήσεις ενδέχεται να σταματήσουν.
-
Ένας μη αναμενόμενος αριθμός απαντήσεων του NXDOMAIN δημιουργούνται από το διακομιστή ελέγχου ταυτότητας.
Επισκόπηση επίθεσης
Οι διακομιστές DNS ήταν πάντα ευάλωτοι σε έναν πίνακα επιθέσεων. Για αυτόν το λόγο, οι διακομιστές DNS τοποθετούνται γενικά πίσω από τους σταθεροποιητές φόρτωσης και τα τείχη προστασίας σε ένα DMZ.
Για να εκμεταλλευτεί αυτό το θέμα ευπάθειας, ένας εισβολέας θα πρέπει να έχει πολλά προγράμματα-πελάτες DNS. Συνήθως, αυτό θα περιλαμβάνει ένα ρομπότ, πρόσβαση σε δεκάδες ή εκατοντάδες επιλύτες DNS που μπορούν να ενισχύσουν την επίθεση και μια εξειδικευμένη υπηρεσία διακομιστή DNS του εισβολέα.
Το κλειδί για την επίθεση είναι ο ειδικά ενσωματωμένος διακομιστής DNS του εισβολέα που είναι επιτακτικός για έναν τομέα τον οποίο κατέχει ο εισβολέας. Για να είναι επιτυχημένη η επίθεση, οι λύσεις DNS πρέπει να γνωρίζουν πώς να προσεγγίσουν τον τομέα και το διακομιστή DNS του εισβολέα. Αυτός ο συνδυασμός μπορεί να δημιουργήσει πολλή επικοινωνία μεταξύ των επαναλαμβανόμενων επιλυτών και του έγκυρου διακομιστή DNS του θύματος. Το αποτέλεσμα είναι μια επίθεση DDoS.
Θέμα ευπάθειας για το MS DNS σε εταιρικά intranet
Οι εσωτερικοί, ιδιωτικοί τομείς δεν επιλύονται μέσω υποδείξεων ρίζας και διακομιστών DNS ανωτάτου επιπέδου. Όταν ακολουθείτε τις βέλτιστες πρακτικές, οι διακομιστές DNS που είναι επιτακτικούς για ιδιωτικούς, εσωτερικούς τομείς, όπως οι τομείς της υπηρεσίας καταλόγου Active Directory, δεν είναι προσβάσιμοι από το Internet.
Παρόλο που μια NXNSAttack ενός εσωτερικού τομέα από το εσωτερικό δίκτυο είναι τεχνικά δυνατή, θα απαιτούσε έναν κακόβουλο χρήστη στο εσωτερικό δίκτυο, ο οποίος έχει πρόσβαση σε επίπεδο διαχειριστή, για να ρυθμίσει τις παραμέτρους των εσωτερικών διακομιστών DNS ώστε να παραπέμπουν σε διακομιστές DNS στον τομέα του εισβολέα. Αυτός ο χρήστης πρέπει επίσης να έχει τη δυνατότητα να δημιουργήσει μια κακόβουλη ζώνη στο δίκτυο και να τοποθετήσει έναν ειδικό διακομιστή DNS που είναι ικανός να εκτελεί το NXNSAttack στο εταιρικό δίκτυο. Ένας χρήστης που έχει αυτό το επίπεδο πρόσβασης θα ευνοήσει γενικά την απόκρυψη των ανακοινώσεων της παρουσίας του, με την έναρξη μιας άκρως ορατής επίθεσης DNS DDoS.
Θέμα ευπάθειας για την αντιμετώπιση του MS DNS με ακμές
Μια επίλυση DNS στο Internet χρησιμοποιεί υποδείξεις ρίζας και διακομιστές τομέα ανωτάτου επιπέδου (TLD) για την επίλυση άγνωστων τομέων DNS. Ένας εισβολέας μπορεί να χρησιμοποιήσει αυτό το δημόσιο σύστημα DNS για να χρησιμοποιήσει οποιαδήποτε επίλυση DNS με πρόσβαση στο Internet για να δοκιμάσει την ενίσχυση του NXNSAttack. Μετά την ανακάλυψη ενός φορέα ενίσχυσης, μπορεί να χρησιμοποιηθεί ως μέρος μιας επίθεσης άρνησης υπηρεσίας (DDoS) εναντίον οποιουδήποτε διακομιστή DNS που φιλοξενεί έναν δημόσιο τομέα DNS (τον τομέα του θύματος).
Ένας διακομιστής DNS Edge που ενεργεί ως πρόγραμμα επίλυσης ή προώθησης μπορεί να χρησιμοποιηθεί ως φορέας ενίσχυσης για την επίθεση, εάν επιτρέπονται ανεπιθύμητα εισερχόμενα ερωτήματα DNS που προέρχονται από το Internet. Η δημόσια πρόσβαση επιτρέπει σε ένα κακόβουλο πρόγραμμα-πελάτη DNS να χρησιμοποιήσει την επίλυση ως μέρος της συνολικής επίθεσης ενίσχυσης.
Οι έγκυροι διακομιστές DNS για δημόσιους τομείς πρέπει να επιτρέπουν την ανεπιθύμητη εισερχόμενη κυκλοφορία DNS από τα resolver που κάνουν επαναλαμβανόμενες αναζητήσεις από τις υποδείξεις ρίζας και την υποδομή DNS TLD. Διαφορετικά, η πρόσβαση στον τομέα αποτυγχάνει. Αυτό έχει ως αποτέλεσμα όλοι οι έγκυροι διακομιστές DNS του δημόσιου τομέα να είναι πιθανά θύματα ενός NXNSAttack. Οι διακομιστές DNS της Microsoft με ακμές πρέπει να εκτελούν Windows Server 2016 ή νεότερη έκδοση για να αποκτήσουν υποστήριξη RRL.
Επίλυση
Για να επιλύσετε αυτό το ζήτημα, χρησιμοποιήστε την ακόλουθη μέθοδο για τον κατάλληλο τύπο διακομιστή.
Για κεντρικούς υπολογιστές MS DNS που αντιμετωπίζουν intranet
Ο κίνδυνος αυτού του άθλου είναι χαμηλός. Παρακολούθηση εσωτερικών διακομιστών DNS για ασυνήθιστη κυκλοφορία. Απενεργοποιήστε τις εσωτερικές NXNSAttackers που βρίσκονται στο εταιρικό σας intranet, όπως αυτές ανακαλύπτονται.
Για αξιόπιστους διακομιστές DNS με ακμές
Ενεργοποίηση του RRL που υποστηρίζεται από τον Windows Server 2016 και νεότερες εκδόσεις του Microsoft DNS. Η χρήση του RRL σε επίλυσης DNS ελαχιστοποιεί την αρχική ενίσχυση επίθεσης. Η χρήση του RRL σε έναν αξιόπιστο διακομιστή DNS του δημόσιου τομέα μειώνει οποιαδήποτε ενίσχυση που αντανακλάται ξανά στην επίλυση DNS. Από προεπιλογή,Το RRL είναι απενεργοποιημένο. Για περισσότερες πληροφορίες σχετικά με το RRL, ανατρέξτε στα ακόλουθα άρθρα:
Εκτελέστε το cmdlet SetDNSServerResponseRateLimitingPowerShell για να ενεργοποιήσετε το RRL χρησιμοποιώντας προεπιλεγμένες τιμές. Εάν η ενεργοποίηση του RRL προκαλέσει την αποτυχία των νομίμων ερωτημάτων DNS, επειδή οι παράμετροι των οποίων επιταχύνονται πολύ στενά, αυξήστε βαθμιαία τις τιμές για τις παραμέτρους Response/SECκαι Errors/SEC μόνο μέχρι ο διακομιστής DNS να αποκριθεί σε ερωτήματα που απέτυχαν προηγουμένως. Άλλες παράμετροι μπορεί επίσης να βοηθήσουν τους διαχειριστές να διαχειρίζονται καλύτερα τις ρυθμίσεις του RRL. Αυτές οι ρυθμίσεις περιλαμβάνουν εξαιρέσεις RRL.
Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο των εγγράφων Microsoft:
Συνήθεις ερωτήσεις
Q1: ο μετριασμός που συνοψίζεται εδώ ισχύει για όλες τις εκδόσεις του Windows Server;
A1: Όχι. Αυτές οι πληροφορίες δεν ισχύουν για τον Windows Server 2012 ή το 2012 R2. Αυτές οι παλαιού τύπου εκδόσεις του Windows Server δεν υποστηρίζουν τη δυνατότητα RRL που μειώνει το εφέ ενίσχυσης όταν μια στοχευμένη επίλυση DNS θέτει σε ερώτημα τους διακομιστές DNS.
Q2: Τι θα πρέπει να κάνουν οι πελάτες εάν έχουν διακομιστές DNS που βρίσκονται σε δίκτυα Edge τα οποία εκτελούν Windows Server 2012 ή Windows Server 2012 R2;
A2: Οι διακομιστές DNS που βρίσκονται σε δίκτυα Edge τα οποία εκτελούν τον Windows Server 2012 ή τον Windows Server 2012 R2 θα πρέπει να αναβαθμιστούν σε Windows Server 2016 ή νεότερες εκδόσεις που υποστηρίζουν το RRL. Το RRL μειώνει το εφέ ενίσχυσης όταν μια στοχευμένη επίλυση DNS θέτει σε ερώτημα τους διακομιστές DNS.
Q3: Πώς μπορώ να διαπιστώσω εάν το RRL προκαλεί την αποτυχία των νομίμων ερωτημάτων DNS;
A3: Εάν το RRL έχει ρυθμιστεί για λειτουργία σύνδεσης , ο διακομιστής DNS κάνει όλους τους υπολογισμούς του RRL. Ωστόσο, αντί να λαμβάνει προληπτικές ενέργειες (όπως η απόθεση ή η περικοπή αποκρίσεων), ο διακομιστής καταγράφει τις πιθανές ενέργειες σαν να ήταν ενεργοποιημένες οι RRL και, στη συνέχεια, συνεχίζει να παρέχει τις συνήθεις απαντήσεις.
