Samenvatting

Abstractie

Op 19 mei 2020 heeft Microsoft uitgebracht beveiligingsadvies ADV200009. In dit artikel wordt beschreven hoe u een DNS-verzwakkeings aanval aanwijst door Israëlische onderzoekers. De aanval, ook wel NXNSAttack genoemd, kan elke DNS-server richten, waaronder Microsoft DNS-en BIND servers die gezaghebbend zijn voor een DNS-zone.

Voor DNS-servers die zich op een bedrijfsintranet bevinden, classificeert Microsoft het risico voor dit gebruik als laag. DNS-servers die zich op Edge-netwerken bevinden, zijn echter kwetsbaar voor NXNSAttack. DNS-servers van vóór Windows 2016 server die zich op Edge-netwerken bevinden, moeten worden bijgewerkt naar Windows Server 2016 of hoger die de reactie snelheidslimiet (RRL) ondersteunen. RRL verlaagt het versterking van het resultaat wanneer een gerichte DNS-resolver uw DNS-servers vraagt.  

Symptomen

Wanneer u een DNS-verhogerings aanval verricht, ziet u mogelijk een of meer van de volgende problemen op een getroffen server:

  • CPU-gebruik voor DNS is verhoogd.

  • DNS-antwoordtijden verhogen en antwoorden kunnen stoppen.

  • Uw verificatieserver genereert een onverwacht aantal NXDOMAIN-antwoorden.

Aanvals overzicht

DNS-servers zijn altijd kwetsbaar voor een reeks aanvallen. Om die reden worden de DNS-servers meestal achter de load-en firewalls in een DMZ geplaatst.

Om dit beveiligingslek te kunnen misbruiken, moet een aanvaller meerdere DNS-clients hebben. Dit omvat meestal een botnet, toegang tot tientallen of honderden DNS-resolver die de aanval kunnen afnemen, en een gespecialiseerde DNS Server-service.

De sleutel voor de aanval is de speciaal ingebouwde DNS-server van de aanvaller die fungeert als gezaghebbend voor een domein waarvan de aanvaller eigenaar is. Als u wilt dat de aanval slaagt, moet u bij de DNS-resolver het domein en de DNS-server van de aanvaller bereiken. Met deze combinatie kunt u een groot aantal communicaties maken tussen de recursieve resolver en de gezaghebbende DNS-server van het slachtoffer. Het resultaat is een DDoS-aanval.

Beveiligingslek voor MS DNS op bedrijfs intraneten

Interne, persoonlijke domeinen kunnen niet worden omgezet via basisservers en DNS-servers op het hoogste niveau. Wanneer u best practices volgt, zijn DNS-servers die gezaghebbend zijn voor privé servers, bijvoorbeeld Active Directory-domeinen, niet bereikbaar via internet.

Hoewel het niet mogelijk is om een NXNSAttack van een intern domein van het interne netwerk te gebruiken, is het in het geval van een kwaadwillende gebruiker op het interne netwerk een kwaad willekeurige gebruiker met beheerderstoegang tot interne DNS-servers configureren zodat ze verwijzen naar de DNS-servers in het domein van de aanvaller. Deze gebruiker moet ook een kwaadaardige zone op het netwerk kunnen maken en een speciale DNS-server kunnen maken die de NXNSAttack op het bedrijfsnetwerk kan uitvoeren. Een gebruiker die dit toegangsniveau heeft, is in het algemeen een onzichtbare weergave van de aanwezigheidsstatus van een DNS-DDoS aanval.  

Beveiligingslek in MS-Facing Edge

DNS resolver op Internet maakt gebruik van aanbevolen basisservers en domeinen van het hoogste niveau (TLD) om onbekende DNS-domeinen op te lossen. Een aanvaller kan dit openbare DNS-systeem gebruiken voor het gebruik van een Internet Facing DNS resolver om te proberen NXNSAttack te verhogen. Nadat een verhogende vector is gedetecteerd, kan deze worden gebruikt als onderdeel van een denial of service (DDoS)-aanval op een DNS-server waarop een openbaar DNS-domein (het slachtoffer-domein) wordt gehost.

Een Edge-DNS-server die fungeert als een omzetter of een doorstuurserver kan worden gebruikt als een uitwendings vector voor de aanval als ongevraagde inkomende DNS-query's die afkomstig zijn van Internet, zijn toegestaan. Met behulp van een kwaadwillende toegang kan een kwaadwillende DNS-client de resolver gebruiken als onderdeel van de algemene verzwakkeings aanval.

Gezaghebbende DNS-servers voor openbare domeinen moeten ongevraagde inkomende DNS-verkeer van resolvers voor het werken met recursieve lookups van de hoofdservers en de DNS-infrastructuur van TLD toestaan. Anders wordt de toegang tot het domein mislukt. Dit zorgt ervoor dat alle openbare DNS-servers van het openbare domein mogelijk slachtoffer van een NXNSAttack. Edge Facing Microsoft DNS-servers kunnen Windows Server 2016 of een nieuwere versie uitvoeren om RRL-ondersteuning te krijgen.

Oplossing

U kunt dit probleem oplossen door de volgende methode te gebruiken voor het juiste servertype.

Voor intranet gerichte MS DNS-servers

Het risico van dit beveiligingslek is te laag. Interne DNS-servers bewaken voor ongebruikelijk verkeer. Schakel interne NXNSAttackers uit die zich bevinden op de intranet versie van het bedrijf wanneer ze worden gevonden.

Voor Edge gerichte DNS-servers

Schakel RRL in voor de ondersteuning van Windows Server 2016 en nieuwere versies van Microsoft DNS. Wanneer u RRL gebruikt op DNS-resolver, wordt de eerste keer een aanval geminimaliseerd. Als u RRL gebruikt op een door de domein gemachtigde DNS-server, wordt elke verminderlijk verminderlijk weergegeven naar de DNS-resolver. StandaardRRL is uitgeschakeld. Zie de volgende artikelen voor meer informatie over RRL:

Voer de SetDNSServerResponseRateLimitingPowerShell-cmdlet uit om RRL in te schakelen met behulp van standaardwaarden. Als het inschakelen van RRL geldige DNS-query's kan veroorzaken omdat deze te strak worden vertraagd, verhoogt u de waarden van het antwoord/SECen de parameters van de parameters van het antwoord op de DNS-server alleen totdat de eerdere mislukte query's reageren. Andere parameters kunnen beheerders ook helpen de instellingen van RRL te verbeteren. Deze instellingen zijn uitzonderingen op RRL.

Zie voor meer informatie het volgende artikel in Microsoft docs:  

DNS-logboekregistratie en diagnose

Veelgestelde vragen

KW 1: heeft de beperking die hier wordt samengevat, van toepassing op alle versies van Windows Server?

A1: Nee. Deze informatie is niet van toepassing op Windows Server 2012 of 2012 R2. Deze oudere versies van Windows Server bieden geen ondersteuning voor de RRL-functie waarmee u het verkleinings effect beperkt wanneer een gerichte DNS-resolver een query uitvoert op uw DNS-servers.

K2: wat moeten klanten doen als ze DNS-servers hebben die zich bevinden op Edge-netwerken waarop Windows Server 2012 of Windows Server 2012 R2 wordt uitgevoerd?

A2: DNS-servers die zich bevinden op Edge-netwerken waarop Windows Server 2012 of Windows Server 2012 R2 wordt uitgevoerd, moeten worden bijgewerkt naar Windows Server 2016 of latere versies die RRL ondersteunen. RRL verlaagt het versterking van het resultaat wanneer een gerichte DNS-resolver uw DNS-servers vraagt.

Q3: hoe kan ik zien of RRL legitiem DNS-Query's kan veroorzaken?

A3: Als RRL is geconfigureerd voor de aanmeldings modus, voert de DNS-server alle RRL-berekeningen uit. In plaats van het uitvoeren van preventieve activiteiten (zoals het neerzetten of afkappen van antwoorden), registreert de server in plaats daarvan de mogelijke acties alsof RRL is ingeschakeld en gaat verder met de normale antwoorden.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de vertaalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×