Resumen
Resumen
El 19 de mayo de 2020, Microsoft publicó el aviso de seguridad ADV200009. Este aviso describe un ataque de amplificación de DNS identificado por investigadores israelíes. El ataque, conocido como NXNSAttack, puede dirigirse a cualquier servidor DNS, incluidos los servidores DNS y BIND de Microsoft que sean autoritativos para una zona DNS.
Microsoft considera que el riesgo de esta vulnerabilidad de seguridad es bajo en los servidores DNS que residan en intranets corporativas. Sin embargo, los servidores DNS que residan en redes perimetrales son vulnerables a NXNSAttack. Los servidores DNS anteriores a Windows Server 2016 que residan en redes perimetrales deben actualizarse a Windows Server 2016 o versiones posteriores que admitan el límite de velocidad de respuesta (RRL). El RRL reduce el efecto de amplificación que se produce cuando el solucionador DNS al que se dirige el ataque consulta los servidores DNS.
Síntomas
En caso de un ataque de amplificación de DNS, podrá observar en el servidor afectado uno o más de los siguientes síntomas:
-
El uso de CPU para DNS es elevado.
-
Los tiempos de respuesta de DNS aumentan y las respuestas pueden detenerse.
-
El servidor de autenticación genera un número inesperado de respuestas NXDOMAIN.
Resumen del ataque
Los servidores DNS siempre han sido vulnerables a una serie de ataques. Por este motivo, los servidores DNS de una red perimetral (DMZ) suelen protegerse con equilibradores de carga y firewalls.
Para explotar esta vulnerabilidad, un atacante tendría que tener varios clientes DNS. Normalmente, esto incluiría una red de robots, acceso a docenas o cientos de solucionadores DNS que sean capaces de amplificar el ataque y un servidor DNS especializado propiedad del atacante.
La clave es el servidor DNS del atacante creado expresamente, que es autoritativo para un dominio controlado por el atacante. Para que el ataque tenga éxito, los solucionadores DNS tienen que saber cómo llegar al dominio y al servidor DNS del atacante. Esta combinación puede generar una elevada comunicación entre los solucionadores recursivos y el servidor DNS autoritativo de la víctima. El resultado es un ataque DDoS.
Vulnerabilidad de MS DNS en intranets corporativas
Los dominios internos y privados no se pueden resolver a través de sugerencias de raíz y servidores DNS de dominio de nivel superior. Según las prácticas recomendadas, los servidores DNS que sean autoritativos para dominios internos privados como los de Active Directory no deberían ser accesibles desde Internet.
Aunque sea técnicament posible dirigir un ataque NXNSAttack desde la red interna al dominio interno, sería necesario que un usuario malintencionado de la red interna tuviera acceso de administrador y configurase los servidores DNS internos para que apuntasen a los servidores DNS del dominio del atacante. Este usuario también debería ser capaz de crear una zona malintencionada en la red y de establecer un servidor DNS especial que sea capaz de realizar el ataque NXNSAttack en la red corporativa. Un usuario con este nivel de acceso normalmente optará por actuar con sigilo, sin anunciar su presencia mediante un ataque DDoS manifiesto a un DNS.
Vulnerabilidad de servidores MS DNS perimetrales
Un solucionador DNS de internet utiliza las sugerencias de raíz y los servidores de dominios de nivel superior (TLD) para resolver los dominios DNS desconocidos. El atacante puede aprovechar este sistema DNS público para tratar de amplificar el ataque NXNSAttack mediante un solucionador DNS accesible desde internet. Después de descubrir un vector de amplificación, se puede utilizar como parte de un ataque por denegación de servicio (DDoS) contra cualquier servidor DNS que hospede un dominio DNS público (el dominio víctima).
Un servidor DNS perimetral que actúe como solucionador o remitente se puede utilizar como vector de amplificación para el ataque si se permiten consultas de DNS entrantes no solicitadas que se originen en internet. El acceso público permite a un cliente DNS malintencionado utilizar el solucionador como parte del ataque de amplificación.
Los servidores DNS autoritativos para dominios públicos deben permitir el tráfico DNS entrante no solicitado de los solucionadores que realicen búsquedas recursivas en las sugerencias de raíz y en la infraestructura de DNS de dominio de nivel superior (TLD). De lo contrario, se produce un error en el acceso al dominio. Esto hace que todos los servidores DNS autoritativos del dominio público sean vulnerables a ataques NXNSAttack. Los servidores DNS perimetrales de Microsoft deben ejecutar Windows Server 2016 o una versión posterior para ser compatibles con RRL.
Resolución
Para resolver este problema, utilice el siguiente método en función del tipo de servidor.
En servidores MS DNS de intranet
El riesgo de esta vulnerabilidad de seguridad es bajo. Supervise los servidores DNS internos en busca de tráfico inusual. Deshabilite los ataques NXNSAttack internos de la intranet corporativa en cuanto se detecten.
En los servidores DNS perimetrales autoritativos
Habilite el RRL, que es compatible con Windows Server 2016 y con las versiones posteriores de Microsoft DNS. Habilitar el RRL en los solucionadores DNS minimiza la amplificación inicial del ataque. Habilitar el RRL en un servidor DNS autoritativo del dominio público reduce cualquier amplificación que pudiera afectar al solucionador DNS. De forma predeterminada, el RRL está deshabilitado. Para obtener más información sobre el RRL, consulte los siguientes artículos:
|
Ejecute el cmdlet SetDNSServerResponseRateLimiting de PowerShell para habilitar el RRL con los valores predeterminados. Si habilitar el RRL hace que las consultas de DNS legítimas fallen por un exceso de limitación, aumente progresivamente los valores de los parámetros Respuestas/s y Errores/s hasta que el servidor DNS vuelva a responder correctamente a las consultas.
Existen otros parámetros que también pueden ayudar a los administradores a administrar mejor la configuración de RRL. Esta configuración incluye las excepciones de RRL.
Para obtener más información, consulte los siguientes artículos de Microsoft Docs:
Preguntas más frecuentes
P1: ¿La mitigación que se resume en este artículo se aplica a todas las versiones de Windows Server?
R1: No, esta información no se aplica a Windows Server 2012 ni a Windows Server 2012 R2. Estas versiones heredadas de Windows Server no admiten la característica RRL, que reduce el efecto de amplificación cuando el solucionador DNS al que se dirige el ataque consulta los servidores DNS.
P2: ¿Qué deben hacer los clientes con servidores DNS en redes perimetrales que ejecuten Windows Server 2012 o Windows Server 2012 R2?
R2: Los servidores DNS de redes perimetrales que ejecuten Windows Server 2012 o Windows Server 2012 R2 deben actualizarse a Windows Server 2016 o versiones posteriores que admitan RRL. El RRL reduce el efecto de amplificación que se produce cuando el solucionador DNS al que se dirige el ataque consulta los servidores DNS.
P3: ¿Cómo puedo determinar si el RRL está provocando errores en las consultas de DNS legítimas?
R3: Si el RRL se ha establecido en el modo LogOnly, el servidor DNS realiza todos los cálculos de RRL. Sin embargo, en lugar de tomar acciones preventivas (como eliminar o truncar las respuestas), el servidor registra las acciones potenciales como si el RRL estuviera habilitado y, a continuación, continúa proporcionando las respuestas habituales.
