Luka w zabezpieczeniach serwera Microsoft DNS związana z atakami na pamięć podręczną serwera DNS

Symptomy

//www.simpledns.com/kb.aspx?kbid=1250 zawiera opis sposobu podsłuchiwania pamięci podręcznej DNS jako:

Podsłuchiwanie pamięci podręcznej DNS polega na tym, gdy ktoś bada serwer DNS w celu znalezienia (podsłuchiwanie), jeśli serwer DNS ma zbuforowany rekord DNS, a w związku z tym wywnioskuje, że właściciel serwera DNS (lub jego użytkownicy) ostatnio odwiedził określoną witrynę. Może to spowodować wyświetlenie informacji o właścicielu serwera DNS, takich jak dostawca, Bank, dostawca usług itd. Szczególnie wtedy, gdy jest to potwierdzone (podsłuchiwanie) wiele razy w danym okresie. Ta metoda może być również używana w celu zebrania informacji statystycznych, na przykład w jakiej chwili właściciel serwera DNS zazwyczaj uzyskuje dostęp do jego banku (itd.). Pozostała wartość TTL buforowanego rekordu DNS może zapewniać bardzo dokładne dane.

Możliwość podsłuchiwania pamięci podręcznej DNS jest możliwa nawet wtedy, gdy serwer DNS nie jest skonfigurowany do rekursywowania dla innych osób, o ile dostarcza on także rekordy z pamięci podręcznej do innych osób (vel "lame").

Inspekcje zabezpieczeń mogą zgłosić, że różne implementacje serwera DNS są narażone na ataki w pamięci podręcznej, które umożliwiają osobie atakującej zdalne zidentyfikowanie, które domeny i hosty [ostatnio] zostały rozpoznane przez dany serwer nazw.

Po przeprowadzeniu takiej usterki raportu z podsłuchiwaniem pamięci podręcznej:

Ujawnienie informacji zdalnych w pamięci podręcznej serwera DNS

Streszczenie: zdalny serwer DNS jest narażony na ataki z podsłuchiwaniem w pamięci podręcznej.

Opis: zdalny serwer DNS odpowiada na zapytania dla domen innych firm, które nie mają ustawionego bitu rekursji. Dzięki temu zdalna osoba atakująca może ustalić, które domeny zostały ostatnio rozpoznane za pomocą tego serwera nazw, a więc które hosty były ostatnio odwiedzane. Jeśli na przykład osoba atakująca zastąpiła do tego, czy Twoja firma korzysta z usług online określonej instytucji finansowej, może skorzystać z tego ataku, aby zbudować model statystyczny dotyczący korzystania z tej instytucji finansowej w firmie. Ponadto atak może również służyć do znajdowania partnerów, wzorów do korzystania z Internetu, zewnętrznych serwerów poczty i innych elementów. Uwaga: Jeśli jest to wewnętrzny serwer DNS niedostępny do sieci zewnętrznych, ataki są ograniczone do sieci wewnętrznej. Mogą to być między innymi pracownicy, konsultanci i potencjalni użytkownicy w sieci Gości lub połączenie WiFi, jeśli są obsługiwane.

Czynnik ryzyka: Średni

Wynik podstawowy CVSS: 5.0 CVSS2 # AV: N/AC: L/au: n/C: P/I: n/d: N

Zobacz też: http://www.rootsecure.net/content/downloads/PDF/dns_cache_snooping. PDF

Rozwiązanie: skontaktuj się z dostawcą oprogramowania DNS, aby uzyskać poprawkę.

Przyczyna

Ten błąd jest zazwyczaj raportowany na serwerze DNS, który przeprowadza rekursję

Rozwiązanie

Nie istnieje poprawka kodu, ponieważ jest to wybór konfiguracji. Dostępne opcje to

  1. Pozostaw rekursję włączoną, jeśli serwer DNS rezyduje w sieci firmowej, do której nie ma dostępu niezaufany klient.

  2. Nie Zezwalaj na publiczny dostęp do serwerów DNS wykonujących rekursję

  3. Wyłączanie rekursji

Więcej informacji

Domyślnie serwery DNS firmy Microsoft są skonfigurowane tak, aby zezwalać na rekursję. Rekursja nazw może być globalnie wyłączona na serwerze DNS firmy Microsoft, ale nie można jej wyłączyć w odniesieniu do poszczególnych klientów lub dla poszczególnych interfejsów. Większość serwerów DNS firmy Microsoft jest współinstalowanych z rolą serwera kontroler domeny. Takie serwery zazwyczaj umożliwiają hostowanie stref i rozpoznawanie nazw DNS dla urządzeń | urządzenia, klienci będący członkami, serwery członkowskie i kontrolery domeny w lesie usługi Active Directory, ale mogą też rozpoznawać nazwy większe części sieci firmowej.  Ponieważ serwery DNS firmy Microsoft są zwykle wdrażane za zaporach w sieciach firmowych, zazwyczaj nie są one dostępne dla klientów niezaufanych.  Administratorzy serwerów w tym ustawieniu powinni uwzględnić, czy jest konieczne wyłączenie lub ograniczenie rekursji DNS. Wyłączenie rekursji globalnie nie jest zmianą konfiguracji, która powinna zostać pobrana w jasny sposób, ponieważ serwer DNS nie może rozpoznać żadnych nazw DNS w strefach, które nie są przechowywane lokalnie. Wymaga to dokładnego planowania systemu DNS. Na przykład klienci zazwyczaj nie mogą być wskazywani bezpośrednio na takich serwerach.  Decyzję o wyłączeniu rekursji (lub not) należy wykonać na podstawie roli, jaką ma wykonywać serwer DNS w ramach wdrożenia. Jeśli serwer ma odnosić się imiona i nazwiska w imieniu swoich klientów, nie można wyłączyć rekursji. Jeśli serwer ma zwracać dane tylko poza strefy lokalne i nigdy nie ma być w nim powtarzany ani przesyłany dalej w imieniu klientów, rekursja może być wyłączona. Linki pokrewne Wyłączanie rekursji na serwerze DNS (W2K8 R2)-hTTP://TechNet.Microsoft.com/en-us/library/cc771738.aspx Wyłączanie rekursji na serwerze DNS (W2K3 i W2K3 R2)- http://TechNet.Microsoft.com/en-us/library/cc787602 (v = WS. 10). aspx Jak działa kwerenda DNS — http://TechNet.Microsoft.com/en-us/library/cc775637 (v = WS. 10). aspx Zapytania cykliczne i iteracyjne — http://TechNet.Microsoft.com/en-us/library/cc961401.aspx Rozpoznawanie nazw cyklicznych — http://TechNet.Microsoft.com/en-us/library/cc755941 (v = WS. 10). aspx

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×