Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Podsumowanie

Wydobywa

19 maja 2020 r. Firma Microsoft wydała Poradnik zabezpieczeń ADV200009. Niniejszy poradnik zawiera opis ataku polegającego na wzkorzystaniu systemu DNS zidentyfikowanego przez izraelskich naukowców. Ataki, nazywane NXNSAttack, mogą dotyczyć dowolnego serwera DNS, w tym usługi DNS firmy Microsoft i serwerów BIND, które są autorytatywne dla strefy DNS.

W przypadku serwerów DNS, które znajdują się w firmowych sieciach intranet, firma Microsoft ocenia ryzyko tej luki w zabezpieczeniach jako niskie. Jednak serwery DNS, które rezydują w sieciach Edge, są narażone na NXNSAttack. Serwery DNS starsze niż Windows Server 2016, które rezydują w sieciach Edge, powinny zostać uaktualnione do systemu Windows Server w wersji 2016 lub nowszej, który obsługuje limit szybkości odpowiedzi (RRL). RRL zmniejsza efekt wzmocnienia, gdy docelowy program DNS sprawdza kwerendy serwerów DNS.  

Symptomy

Po przeprowadzonym ataku za pośrednictwem systemu DNS można obserwować jeden lub więcej z następujących objawów na serwerze, którego dotyczy problem:

  • Użycie procesora przez usługę DNS jest podwyższone.

  • Wzrastające czasy odpowiedzi DNS i odpowiedzi mogą być przerywane.

  • Serwer uwierzytelniania wygenerował niespodziewaną liczbę odpowiedzi NXDOMAIN.

Omówienie ataku

Serwery DNS zawsze były narażone na ataki. Z tego powodu serwery DNS są zwykle umieszczane za pomocą modułów równoważenia obciążenia i zapór w DMZ.

Aby wykorzystać tę lukę, osoba atakująca musi mieć wielu klientów DNS. Zwykle obejmuje to botnet, dostęp do dziesiątek lub setek nazw DNS, które mogą wzmocnić atak, oraz wyspecjalizowanej usługi serwera DNS.

Kluczem do ataku jest specjalnie zbudowany serwer DNS, który jest autorytatywny dla domeny, której właścicielem jest osoba atakująca. Aby atak przeprowadzony w ten sposób powiódł się, rozpoznawanie nazw DNS musi dowiedzieć się, jak dotrzeć do domeny i serwera DNS osoby atakującej. Ta kombinacja może generować wiele informacji między rozpoznawaniem cyklicznym a autorytatywnym serwerem DNS ofiarą. Wynikiem jest atak DDoS.

Luka w zabezpieczeniach usługi MS DNS w firmowych sieciach intranet

Wewnętrzne, prywatne domeny nie są rozpoznawane za pośrednictwem wskazówek głównych i serwerów DNS domeny najwyższego poziomu. Po wykonaniu najważniejszych wskazówek serwery DNS, które są autorytatywne dla prywatnych, domen wewnętrznych, takich jak domeny usługi Active Directory, nie są dostępne z Internetu.

Chociaż NXNSAttack domeny wewnętrznej z sieci wewnętrznej jest technicznie możliwe, wymaga to złośliwego użytkownika w sieci wewnętrznej, który ma dostęp na poziomie administratora, aby skonfigurować wewnętrzne serwery DNS, aby wskazywały serwery DNS w domenie ataku. Ten użytkownik musi być również w stanie utworzyć niebezpieczną strefę w sieci i umieścić specjalny serwer DNS, który umożliwia prowadzenie NXNSAttack w sieci firmowej. Użytkownik mający ten poziom dostępu będzie na ogół niewidoczny dla wypowiedzenia ich obecności przez zainicjowanie bardzo widocznego ataku DDoS DNS.  

Luka w zabezpieczeniach usługi MS DNS dla komputerów z systemem Edge

Program rozpoznawania nazw DNS w Internecie korzysta ze wskazówek dotyczących serwerów głównych i domen najwyższego poziomu, aby rozpoznać nieznane domeny DNS. Osoba atakująca może wykorzystać ten publiczny system DNS do korzystania z internetowego programu rozpoznawania nazw DNS, aby wypróbować wzmocnienie NXNSAttack. Po wykryciu wektora wzmocnienia można go użyć w ramach ataku typu odmowa usługi (DDoS) na dowolny serwer DNS, który obsługuje publiczną domenę DNS (domenę ofiarą).

W celu ataku można wykorzystać graniczny serwer DNS, który działa jako mechanizm rozwiązywania problemów lub przesyłania dalej, jeśli nie są dozwolone przychodzące zapytania DNS, które pochodzą z Internetu. Dostęp publiczny umożliwia złośliwemu klientowi DNS korzystanie z resolvera w ramach ogólnego ataku na wzmocnienie.

Autorytatywne serwery DNS dla domen publicznych muszą zezwalać na niechciany ruch DNS od tłumaczy, którzy przeprowadzają wyszukiwania rekursywne z głównych wskazówek i domeny najwyższego poziomu systemu DNS. W przeciwnym razie nie uda się uzyskać dostępu do domeny. Spowoduje to, że wszyscy serwery DNS domeny publicznej będą mogli ofiary NXNSAttack. Aby uzyskać pomoc techniczną RRL, na krawędzi serwery DNS firmy Microsoft powinny działać systemy Windows Server 2016 lub nowsza wersja.

Rozwiązanie

Aby rozwiązać ten problem, użyj poniższej metody odpowiedniego typu serwera.

Dla serwerów usługi MS DNS dostępnych w intranecie

Ryzyko związane z tą eksploatacją jest niskie. Monitorowanie wewnętrznych serwerów DNS w przypadku nietypowych danych. Wyłącz wewnętrzne NXNSAttackers, które znajdują się w firmowej sieci intranet w trakcie ich odnajdowania.

Dla autorytatywnych serwerów DNS opartych na krawędziach

Włącz RRL, który jest obsługiwany przez system Windows Server 2016 i nowsze wersje usługi DNS firmy Microsoft. Korzystanie z RRL w usłudze rozpoznawanie nazw DNS minimalizuje wstępną wzmocnienie ataku. Używanie RRL w domenie publicznej autorytatywny serwer DNS zmniejsza dowolna wzmocnienie, które jest odzwierciedlone z powrotem do programu rozpoznawania nazw DNS. DomyślnieRRL jest wyłączona. Aby uzyskać więcej informacji na temat RRL, zobacz następujące artykuły:

Uruchompolecenie cmdlet programu SetDNSServerResponseRateLimiting PowerShell, aby włączyć RRL przy użyciu wartości domyślnych. SetDNSServerResponseRateLimiting Jeśli włączenie RRL powoduje, że prawdziwe kwerendy DNS nie powiodą się, ponieważ są zbyt mocno ograniczające, zwiększają one wartości parametrów odpowiedzi/SECoraz Błędy/s , dopóki serwer DNS nie odpowie na poprzednie kwerendy. Inne parametry mogą także ułatwić administratorom lepsze zarządzanie ustawieniami RRL. Te ustawienia obejmują wyjątki RRL.

Aby uzyskać więcej informacji, zobacz następujące artykuły z dokumentów firmy Microsoft:  

Rejestrowanie i Diagnostyka DNS

Często zadawane pytania

Q1: czy podsumowanie rozwiązania problemu dotyczy wszystkich wersji systemu Windows Server?

A1: Nie. Te informacje nie dotyczą systemu Windows Server 2012 lub 2012 R2. Te starsze wersje systemu Windows Server nie obsługują funkcji RRL, która zmniejsza efekt wzmocnienia, gdy docelowy program DNS sprawdza kwerendy od serwerów DNS.

Q2: co powinni robić Klienci, jeśli mają serwery DNS znajdujące się w sieciach Edge z systemem Windows Server 2012 lub Windows Server 2012 R2?

A2: Serwery DNS znajdujące się w sieciach Edge z systemem Windows Server 2012 lub Windows Server 2012 R2 powinny zostać uaktualnione do systemu Windows Server 2016 lub nowszej wersji, które obsługują RRL. RRL zmniejsza efekt wzmocnienia, gdy docelowy program DNS sprawdza kwerendy serwerów DNS.

Q3: jak sprawdzić, czy RRL powoduje awarię wiarygodnych zapytań DNS?

A3: Jeśli RRL jest skonfigurowany w trybie logowania , serwer DNS wykonuje wszystkie RRL obliczenia. Jednak zamiast podejmowania działań prewencyjnych (takich jak gubienie lub obcinanie odpowiedzi) zamiast tego serwer rejestruje potencjalne akcje, tak jakby RRL były włączone, a następnie kontynuuje przedstawianie zwykłych odpowiedzi.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×