Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Riepilogo

Astratto

Il 19 maggio 2020, Microsoft ha rilasciato la Security Advisory ADV200009. Questo advisory descrive un attacco di amplificazione DNS identificato dai ricercatori israeliani. L'attacco, noto come NXNSAttack, può essere destinato a qualsiasi server DNS, inclusi i server DNS e i binding Microsoft autorevoli per una zona DNS.

Per i server DNS che risiedono in Intranet aziendali, Microsoft valuta il rischio di questo exploit in modo più basso. Tuttavia, i server DNS che risiedono sulle reti Edge sono vulnerabili a NXNSAttack. I server DNS precedenti a Windows Server 2016 che si trovano in reti Edge devono essere aggiornati in Windows Server 2016 o versioni successive che supportano il limite di velocità di risposta (RRL). RRL riduce l'effetto di amplificazione quando un resolver DNS mirato interroga i server DNS.  

Sintomi

Quando viene eseguito un attacco di amplificazione DNS, è possibile osservare uno o più dei sintomi seguenti in un server interessato:

  • L'utilizzo della CPU per DNS è elevato.

  • I tempi di risposta DNS aumentano e le risposte possono arrestarsi.

  • Il server di autenticazione genera un numero imprevisto di risposte NXDOMAIN.

Panoramica degli attacchi

I server DNS sono sempre stati vulnerabili a una matrice di attacchi. Per questo motivo, i server DNS sono in genere posizionati dietro bilanciamento del carico e firewall in una DMZ.

Per sfruttare questa vulnerabilità, un utente malintenzionato dovrebbe avere più client DNS. In genere, questo include una botnet, l'accesso a decine o centinaia di risolutori DNS in grado di amplificare l'attacco e un servizio server DNS specializzato in attacco.

La chiave per l'attacco è il server DNS degli aggressori appositamente compilato, che è autorevole per un dominio proprietario dell'aggressore. Affinché l'attacco abbia successo, i resolver DNS devono sapere come raggiungere il dominio del pirata informatico e il server DNS. Questa combinazione può generare molte comunicazioni tra i risolutori ricorsivi e il server DNS autorevole della vittima. Il risultato è un attacco DDoS.

Vulnerabilità per MS DNS in Intranet aziendali

I domini interni e privati non sono risolvibili tramite gli hint radice e i server DNS di primo livello. Quando si seguono le procedure consigliate, i server DNS autorevoli per i domini interni privati, ad esempio i domini di Active Directory, non possono essere raggiunti da Internet.

Anche se un NXNSAttack di un dominio interno dalla rete interna è tecnicamente possibile, richiederebbe un utente malintenzionato nella rete interna che ha accesso a livello di amministratore per configurare i server DNS interni in modo che puntino ai server DNS nel dominio degli aggressori. Questo utente deve essere anche in grado di creare un'area malevola nella rete e inserire un server DNS speciale in grado di eseguire il NXNSAttack nella rete aziendale. Un utente che ha questo livello di accesso favorirà in genere la furtività per annunciare la propria presenza avviando un attacco DDoS DNS altamente visibile.  

Vulnerabilità per MS DNS con rivestimento Edge

Un resolver DNS su Internet usa i suggerimenti radice e i server di dominio di primo livello (TLD) per risolvere i domini DNS sconosciuti. Un utente malintenzionato può usare questo sistema DNS pubblico per usare qualsiasi resolver DNS con accesso a Internet per provare l'amplificazione NXNSAttack. Dopo aver individuato un vettore di amplificazione, può essere usato come parte di un attacco di tipo Denial of Service (DDoS) contro qualsiasi server DNS che ospita un dominio DNS pubblico (il dominio della vittima).

Un server DNS Edge che funge da resolver o inoltro può essere usato come vettore di amplificazione per l'attacco se sono consentite query DNS in arrivo non richieste che hanno origine da Internet. L'accesso pubblico consente a un client DNS malintenzionato di usare il resolver come parte dell'attacco di amplificazione globale.

I server DNS autorevoli per i domini pubblici devono consentire il traffico DNS in arrivo non richiesto dai resolver che stanno eseguendo ricerche ricorsive dagli hint radice e dall'infrastruttura DNS TLD. In caso contrario, l'accesso al dominio non riesce. In questo modo tutti i server DNS autorevoli di dominio pubblico possono essere vittime di un NXNSAttack. I server DNS Microsoft orientati ai bordi devono eseguire Windows Server 2016 o una versione successiva per ottenere il supporto di RRL.

Risoluzione

Per risolvere il problema, usare il metodo seguente per il tipo di server appropriato.

Per i server DNS MS che si affacciano su Intranet

Il rischio di questo exploit è basso. Monitorare i server DNS interni per il traffico insolito. Disabilitare le NXNSAttackers interne che si trovano nella Intranet aziendale Man mano che vengono scoperte.

Per i server DNS autorevoli che si affacciano sul bordo

Abilitare RRL supportato da Windows Server 2016 e versioni successive di Microsoft DNS. L'uso di RRL su resolver DNS riduce a icona l'amplificazione iniziale degli attacchi. L'uso di RRL in un server DNS autorevole di dominio pubblico riduce l'amplificazione riflessa al resolver DNS. Per impostazione predefinita,RRL è disabilitato. Per altre informazioni su RRL, vedere gli articoli seguenti:

Eseguire il SetDNSServerResponseRateLimitingcmdlet di PowerShell SetDNSServerResponseRateLimiting per abilitare RRL usando i valori predefiniti. Se l'abilitazione di RRL fa sì che le query DNS legittime non riescono perché vengono limitate troppo strettamente, aumentano in modo incrementale i valori dei parametri Response/sece Errors/sec solo fino a quando il server DNS non risponde alle query in errore. Altri parametri possono anche aiutare gli amministratori a gestire meglio le impostazioni di RRL. Queste impostazioni includono le eccezioni RRL.

Per altre informazioni, vedere l'articolo di Microsoft docs seguente:  

Registrazione e diagnostica DNS

Domande frequenti

Q1: la mitigazione riassunta qui si applica a tutte le versioni di Windows Server?

A1: No. Queste informazioni non sono valide per Windows Server 2012 o 2012 R2. Queste versioni legacy di Windows Server non supportano la caratteristica RRL che riduce l'effetto di amplificazione quando un resolver DNS mirato interroga i server DNS.

Q2: cosa devono fare i clienti se hanno server DNS che si trovano in reti Edge che eseguono Windows Server 2012 o Windows Server 2012 R2?

A2: I server DNS che si trovano in reti Edge in cui è in uso Windows Server 2012 o Windows Server 2012 R2 devono essere aggiornati in Windows Server 2016 o versioni successive che supportano RRL. RRL riduce l'effetto di amplificazione quando un resolver DNS mirato interroga i server DNS.

Q3: come è possibile determinare se RRL sta causando il fallimento di query DNS legittime?

A3: Se RRL è configurato per la modalità di accesso , il server DNS esegue tutti i calcoli di RRL. Tuttavia, invece di eseguire azioni preventive (ad esempio eliminare o troncare le risposte), il server registra invece le azioni potenziali come se RRL fosse abilitato e quindi continui a specificare le risposte usuali.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×