Vulnerabilidade de servidor DNS da Microsoft para ataques de rastreamento do cache do servidor DNS


Sintomas


www.simpledns.com/KB.aspx?kbid=1250 descreve o rastreamento de cache DNS como:

O rastreamento de cache DNS é quando alguém consulta um servidor DNS para descobrir (rastreamento) se o servidor DNS tiver um registro DNS específico armazenado em cache e, dessa forma, deduzirá se o proprietário do servidor DNS (ou seus usuários) visitou recentemente um site específico. Isso pode revelar informações sobre o proprietário do servidor DNS, como o fornecedor, o banco, o provedor de serviços, etc. eles usam. Especialmente se isso for confirmado (espionado) várias vezes em um período. Esse método pode até ser usado para coletar informações estatísticas, por exemplo, em que tempo o proprietário do servidor DNS normalmente acessa o seu banco de rede etc. O valor TTL restante do registro DNS em cache pode fornecer dados muito precisos para isso.

O rastreamento de cache DNS é possível mesmo se o servidor DNS não estiver configurado para resolver recursivamente para terceiros, desde que ele forneça registros do cache também a terceiros (conhecida "solicitações inimperfeito").

Auditorias de segurança podem relatar que várias implementações de servidor DNS são vulneráveis a ataques de espionagem de cache que permitem que um invasor remoto identifique quais domínios e hosts [recentemente] foram resolvidos por um determinado servidor de nomes.

Assim que o relatório de vulnerabilidade de espionagem de cache for lido:

Cache do servidor DNS divulgação de informações remotas Espionadas

Resumo: o servidor DNS remoto está vulnerável a ataques de espionagem de cache.

Descrição: o servidor DNS remoto responde às consultas de domínios de terceiros que não têm o bit de recursão definido. Isso pode permitir que um invasor remoto determine quais domínios foram resolvidos recentemente por meio desse servidor de nomes e, portanto, quais hosts foram visitados recentemente. Por exemplo, se um invasor estava interessado na sua empresa utilizar os serviços online de uma determinada instituição financeira, ele poderá usar esse ataque para criar um modelo estatístico relativo à empresa que usa a instituição financeira. É claro que o ataque também pode ser usado para localizar parceiros B2B, padrões de navegação na Web, servidores de email externos e muito mais. Observação: se esse for um servidor DNS interno que não pode ser acessado para redes externas, os ataques ficarão limitados à rede interna. Isso pode incluir funcionários, consultores e usuários potencialmente em uma rede convidada ou conexão WiFi, se houver suporte.

Fator de risco: médio

Pontuação base do CVSS: 5.0 CVSS2 # AV: N/AC: L/au: N/C: P/I: N/d: N

Consulte também: http://www.rootsecure.net/content/downloads/PDF/dns_cache_snooping. pdf

Solução: entre em contato com o fornecedor do software DNS para obter uma correção.

Causa


Este erro geralmente é relatado em servidores DNS que executam recursão

Resolução


Não há uma correção de código, pois essa é uma opção de configuração. Opções são

  1. Deixe a recursividade habilitada se o servidor DNS residir em uma rede corporativa que não pode ser acessada por um cliente não confiável
  2. Não permitir acesso público a servidores DNS que executam recursão
  3. Desabilitar a recursividade

Informações adicionais


Por padrão, os servidores DNS da Microsoft são configurados para permitir recursão.A recursão de nome pode ser desabilitada globalmente em um servidor DNS da Microsoft, mas não pode ser desabilitada em uma base por cliente ou por interface.A maioria dos servidores DNS da Microsoft é instalada em conjunto com a função de servidor do controlador de domínio. Esses servidores geralmente hospedam zonas e resolvem nomes DNS para dispositivos | aparelhos, clientes Membros, servidores membro e controladores de domínio em uma floresta do Active Directory, mas também podem resolver nomes para partes maiores de uma rede corporativa.  Como os servidores DNS da Microsoft são normalmente implantados atrás de firewalls em redes corporativas, eles geralmente não são acessíveis a clientes não confiáveis.  Os administradores de servidores nesta configuração devem considerar se a desativação ou limitação da recursividade do DNS é necessária.Desabilitar a recursão globalmente não é uma alteração de configuração que deve ser realizada levemente, pois significa que o servidor DNS não pode resolver nomes DNS em zonas não mantidas localmente. Isso exige um planejamento cuidadoso de DNS. Por exemplo, os clientes geralmente não podem ser apontados diretamente para tais servidores. A decisão de desabilitar a recursividade (ou não) deve ser feita com base na função que o servidor DNS deve executar na implantação. Se o servidor for destinado a recurse nomes em nome de seus clientes, a recursão não poderá ser desabilitada. Se o servidor for destinado a retornar dados somente de zonas locais e nunca for destinado a recursiva ou encaminhar em nome dos clientes, a recursividade poderá estar desativada.Links relacionadosDesabilitar a recursividade no servidor DNS (W2K8 R2)-http://technet.Microsoft.com/en-us/library/cc771738.aspxDesabilitar a recursividade no servidor DNS (W2K3 e W2K3 R2)- http://technet.Microsoft.com/en-us/library/cc787602 (v = WS. 10). aspxComo a consulta DNS funciona- http://technet.Microsoft.com/en-us/library/cc775637 (v = WS. 10). aspxConsultas recursivas e iterativas- http://technet.Microsoft.com/en-us/library/cc961401.aspxResolução de nomes recursiva- http://technet.Microsoft.com/en-us/library/cc755941 (v = WS. 10). aspx