Resumo
Resumo
Em 19 de maio de 2020, a Microsoft lançou o aviso de segurança ADV200009. Este aviso descreve um ataque de amplificação de DNS que foi identificado por investigadores israelitas. O ataque, conhecido como NXNSAttack, pode visar qualquer servidor DNS, incluindo servidores DNS e BIND da Microsoft que sejam autorizados para uma zona de DNS.
Para os servidores DNS que residem em intranets corporativas, a Microsoft classifica o risco desta exploração como baixo. No entanto, os servidores DNS que residem nas redes de borda são vulneráveis ao NXNSAttack. Os servidores DNS do Pré-Windows Server 2016 que residem nas redes de borda devem ser atualizados para o Windows Server 2016 ou versões posteriores que suportam o Limite de Taxa de Resposta (RRL). O RRL reduz o efeito de amplificação quando um DNS resolver consultas direcionadas para os seus servidores DNS.
Sintomas
Quando um ataque de amplificação de DNS é feito, pode observar um ou mais dos seguintes sintomas num servidor afetado:
-
O uso do CPU para DNS está elevado.
-
Os tempos de resposta do DNS aumentam e as respostas podem parar.
-
Um número inesperado de respostas NXDOMAIN são geradas pelo seu servidor de autenticação.
Visão geral do ataque
Os servidores DNS sempre foram vulneráveis a uma série de ataques. Por esta razão, os servidores DNS são geralmente colocados atrás de equilibradores de carga e firewalls num DMZ.
Para explorar esta vulnerabilidade, um intruso teria de ter vários clientes DNS. Normalmente, isto incluiria uma botnet, acesso a dezenas ou centenas de dns resolver que são capazes de amplificar o ataque, e um serviço de servidor de DNS atacante especializado.
A chave do ataque é o servidor DNS atacante especialmente construído que é autoritário para um domínio que o atacante possui. Para que o ataque seja bem sucedido, os dns resolvers têm de saber como chegar ao domínio do atacante e ao servidor DNS. Esta combinação pode gerar muita comunicação entre os resolvers recursivos e o servidor DNS autoritário da vítima. O resultado é um ataque DDoS.
Vulnerabilidade para MS DNS em intranets corporativas
Domínios internos e privados não são resolúveis através de Root Hints e servidores DNS de domínio superior. Quando segue as melhores práticas, os servidores DNS que são autoritários para domínios internos privados, como os domínios do Ative Directory, não são alcançáveis a partir da internet.
Embora um NXNSAttack de um domínio interno da rede interna seja tecnicamente possível, seria necessário um utilizador malicioso na rede interna que tenha acesso ao nível do administrador para configurar servidores DNS internos para apontar para servidores DNS no domínio do intruso. Este utilizador também deve ser capaz de criar uma zona maliciosa na rede e colocar um servidor DNS especial capaz de realizar o NXNSAttack na rede corporativa. Um utilizador que tenha este nível de acesso geralmente favorecerá o stealth ao anunciar a sua presença iniciando um ataque DDoS de DNS altamente visível.
Vulnerabilidade para DNS ms virado para o limite
Um DNS resolver na internet utiliza servidores Root Hints e Top-Level Domain (TLD) para resolver domínios DNS desconhecidos. Um intruso pode usar este sistema DNS público para usar qualquer dns resolver com recurso à Internet para tentar a amplificação NXNSAttack. Após a descoberta de um vetor de amplificação, pode ser usado como parte de um ataque de negação de serviço (DDoS) contra qualquer servidor DNS que hospeda um domínio público de DNS (o domínio da vítima).
Um servidor DNS de borda que atua como um resolver ou reencaminhador pode ser usado como um vetor de amplificação para o ataque se não forem permitidas consultas de DNS recebidas não solicitadas que originárias da internet são permitidas. O acesso público permite que um cliente DNS malicioso utilize o resolver como parte do ataque de amplificação geral.
Os servidores DNS autoritários para domínios públicos devem permitir o tráfego DNS de entrada não solicitado de resolver os que estão a fazer pesquisas recursivas a partir da infraestrutura Root Hints e TLD DNS. Caso contrário, o acesso ao domínio falha. Isto faz com que todos os servidores DNS de domínio público sejam possíveis vítimas de um NXNSAttack. Os servidores DNS da Microsoft virados para o aresta devem executar o Windows Server 2016 ou uma versão posterior para obter suporte RRL.
Resolução
Para resolver este problema, utilize o seguinte método para o tipo de servidor apropriado.
Para servidores DNS com a rede intranet
O risco desta exploração é baixo. Monitorize os servidores DNS internos para tráfego incomum. Desative os NXNSAttackers internos que residem na sua intranet corporativa tal como são descobertos.
Para servidores DNS autoritários virados para o limite
Ativar o RRL que é suportado pelo Windows Server 2016 e versões posteriores do Microsoft DNS. A utilização de RRL em DNS resolve-se minimiza a amplificação inicial do ataque. A utilização de RRL num servidor DNS autoritário de domínio público reduz qualquer amplificação que seja refletida de volta ao DNS resolver. Por defeito,O RRL está desativado. Para obter mais informações sobre a RRL, consulte os seguintes artigos:
Executar o SetDNSServerResponseRateLimitingPowerShell cmdlet para ativar o RRL utilizando valores predefinidos. Se permitir que o RRL provoque consultas legítimas de DNS falhem porque estão a ser estranguladas com demasiada força, aumente gradualmente os valores para os parâmetros Response/Sece Errors/Seg apenas até que o servidor DNS responda a consultas anteriormente falhadas. Outros parâmetros também podem ajudar os administradores a gerir melhor as definições de RRL. Estas definições incluem exceções rrl.
Para mais informações, consulte o seguinte artigo da Microsoft Docs:
Perguntas mais frequentes
P1: A mitigação que é resumida aqui aplica-se a todas as versões do Windows Server?
A1: Não. Esta informação não se aplica ao Windows Server 2012 ou 2012 R2. Estas versões antigas do Windows Server não suportam a funcionalidade RRL que reduz o efeito de amplificação quando um DNS resolver consultas direcionadas para os seus servidores DNS.
Q2: O que devem os clientes fazer se tiverem servidores DNS que residem em redes de borda que estão a executar o Windows Server 2012 ou o Windows Server 2012 R2?
A2: Os servidores DNS que residem em redes de borda que estão a executar o Windows Server 2012 ou o Windows Server 2012 R2 devem ser atualizados para o Windows Server 2016 ou versões posteriores que suportam o RRL. O RRL reduz o efeito de amplificação quando um DNS resolver consultas direcionadas para os seus servidores DNS.
P3: Como posso determinar se a RRL está a fazer com que as consultas legítimas de DNS falhem?
A3: Se o RRL estiver configurado para o modo LogOnly, o servidor DNS faz todos os cálculos RRL. No entanto, em vez de tomar medidas preventivas (como largar ou truncar respostas), o servidor regista as ações potenciais como se o RRL estivesse ativado e, em seguida, continua a fornecer as respostas habituais.