Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

Resumo

Resumo

Em 19 de maio de 2020, a Microsoft lançou o aviso de segurança ADV200009. Esse aviso descreve um ataque de amplificação de DNS que foi identificado por pesquisadores israelenses. O ataque, conhecido como NXNSAttack, pode atingir qualquer servidor DNS, incluindo servidores Microsoft DNS e BIND que são autoritativos para uma região DNS.

Para servidores DNS que residem em intranets corporativas, a Microsoft classifica o risco dessa exploração como baixo. No entanto, os servidores DNS que residem em redes de borda são vulneráveis ao NXNSAttack. Os servidores DNS anteriores ao Windows Server 2016 que residem em redes de borda devem ser atualizados para o Windows Server 2016 ou versões posteriores que dão suporte a RRL (Limite de Taxa de Resposta). O RRL reduz o efeito de amplificação quando um resolvedor de DNS direcionado consulta seus servidores DNS.

 

Sintomas

Quando um ataque de amplificação de DNS é realizado, você pode observar um ou mais dos seguintes sintomas em um servidor afetado:

  • O uso da CPU para DNS é elevado.

  • Os tempos de resposta do DNS aumentam e as respostas podem parar.

  • Um número inesperado de respostas NXDOMAIN são geradas pelo seu servidor de autenticação.

Visão geral do ataque

Os servidores DNS sempre foram vulneráveis a uma série de ataques. Por essa razão, os servidores DNS são geralmente colocados por trás de balanceadores de carga e firewalls em um DMZ.

Para explorar essa vulnerabilidade, um invasor teria que ter vários clientes DNS. Normalmente, isso incluiria uma botnet, acesso a dezenas ou centenas de resolvedores DNS capazes de amplificar o ataque e um serviço especializado de servidor DNS invasor.

A chave para o ataque é o servidor DNS invasor especialmente criado que é autoritativo para um domínio que o invasor possui. Para que o ataque seja bem-sucedido, os resolvedores DNS devem saber como alcançar o domínio e o servidor DNS do invasor. Essa combinação pode gerar muita comunicação entre os resolvedores recursivos e o servidor DNS autoritativo da vítima. O resultado é um ataque de DDoS.

Vulnerabilidade do MS DNS em intranets corporativas

Os domínios internos e privados não são solucionáveis por meio das Dicas de Raízes e servidores DNS de domínio primário. Quando você segue as práticas recomendadas, os servidores DNS que são autoritativos para domínios privados e internos, como domínios do Active Directory, não são acessíveis pela Internet.

Embora um NXNSAttack de um domínio interno da rede interna seja tecnicamente possível, isso exigiria um usuário mal-intencionado na rede interna com acesso de nível de administrador para configurar servidores DNS internos que apontem para servidores DNS no domínio do invasor. Esse usuário também deve ser capaz de criar uma zona mal-intencionada na rede e colocar um servidor DNS especial capaz de executar o NXNSAttack na rede corporativa. Um usuário com esse nível de acesso geralmente prefere ocultar sua presença em vez de anunciá-la, iniciando um ataque de DDoS de DNS altamente visível.
 

Vulnerabilidade do MS DNS para borda

Um resolvedor de DNS na Internet usa as Dicas de Raízes e servidores TLD (domínio primário) para resolver domínios DNS desconhecidos. Um invasor pode usar esse sistema DNS público para usar qualquer resolvedor DNS para a Internet para tentar amplificar o NXNSAttack. Depois que um vetor de amplificação é descoberto, ele pode ser usado como parte de um ataque de DDoS (negação de serviço) contra qualquer servidor DNS que hospeda um domínio DNS público (o domínio da vítima).

Um servidor DNS de borda que atua como um resolvedor ou encaminhador poderá ser usado como um vetor de amplificação para o ataque se forem permitidas consultas DNS não solicitadas que se originam da Internet. O acesso público permite que um cliente DNS mal-intencionado use o resolvedor como parte do ataque de amplificação geral.

Os servidores DNS autoritativos para domínios públicos devem permitir o tráfego de DNS de entrada não solicitado de resolvedores que estão fazendo pesquisas recursivas por meio das Dicas de Raízes e da infraestrutura TLD DNS. Caso contrário, o acesso ao domínio falhará. Isso faz com que todos os servidores DNS autoritativos de domínio público sejam possíveis vítimas de um NXNSAttack. Os servidores Microsoft DNS para borda devem executar o Windows Server 2016 ou uma versão posterior para obter suporte a RRL.

Resolução

Para resolver este problema, use o método a seguir para o tipo de servidor adequado.

Para servidores MS DNS para intranet


O risco dessa exploração é baixo. Monitore servidores DNS internos para verificar se há tráfego incomum. Desabilite os NXNSAttackers internos que residem em sua intranet corporativa à medida que forem descobertos.

Para servidores DNS autoritativos para borda

Habilite o RRL com suporte no Windows Server 2016 e versões posteriores do Microsoft DNS. O uso de RRL em resolvedores DNS minimiza a amplificação inicial do ataque. O uso de RRL em um servidor DNS autoritativo de domínio público reduz qualquer amplificação que se reflita de volta no resolvedor DNS. Por padrão, o RRL é desabilitado. Para obter mais informações sobre RRL, veja os seguintes artigos:

Execute o cmdlet do PowerShell SetDNSServerResponseRateLimiting para habilitar o RRL usando valores padrão. Se a habilitação do RRL faz com que consultas legítimas de DNS falhem porque estão sendo limitados muito estritamente, aumente de forma gradual os valores dos parâmetros Resposta/s e Erros/s apenas até que o servidor DNS responda a consultas que estavam falhando.

Outros parâmetros também podem ajudar os administradores a gerenciar melhor as configurações de RRL. Essas configurações incluem exceções de RRL.

Para obter mais informações, visite os seguintes artigos do Microsoft Docs:

Registro em log e diagnósticos de DNS

Perguntas frequentes

P1: A mitigação que é resumida aqui se aplica a todas as versões do Windows Server?

R1: Não. Essas informações não se aplicam ao Windows Server 2012 ou 2012 R2. Essas versões herdadas do Windows Server não dão suporte ao recurso RRL que reduz o efeito de amplificação quando um resolvedor DNS direcionado consulta seus servidores DNS.

P2: O que os clientes deverão fazer se tiverem servidores DNS que residem em redes de borda que estão executando o Windows Server 2012 ou o Windows Server 2012 R2?

R2: Os servidores DNS que residem em redes de borda que estão executando o Windows Server 2012 ou o Windows Server 2012 R2 devem ser atualizados para o Windows Server 2016 ou versões posteriores que dão suporte a RRL. O RRL reduz o efeito de amplificação quando um resolvedor de DNS direcionado consulta seus servidores DNS.

P3: Como posso determinar se o RRL está fazendo com que consultas legítimas de DNS falhem?

R3: Se o RRL estiver configurado no modo LogOnly, o servidor DNS fará todos os cálculos de RRL. No entanto, em vez de executar ações preventivas (como descartar ou truncar respostas), o servidor registra as ações potenciais como se o RRL estivesse habilitado e, em seguida, continua a fornecer as respostas usuais.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×