Rezumat
Abstract
Pe 19 mai 2020, Microsoft a lansat ADV200009consultativ pentru securitate. Această recomandare descrie un atac de amplificare DNS care a fost identificat de cercetătorii israelieni. Atacurile, cunoscute sub numele de NXNSAttack, pot viza orice server DNS, inclusiv Microsoft DNS și serverele BIND care sunt de autoritate pentru o zonă DNS.
Pentru serverele DNS care se află în intranet corporativ, Microsoft ratează riscul ca această exploatare să fie redusă. Cu toate acestea, serverele DNS care se află în rețele Edge sunt vulnerabile la NXNSAttack. Serverele DNS pre-Windows Server 2016 care se află în rețele Edge trebuie să facă upgrade la Windows Server 2016 sau la versiuni mai recente care acceptă limita ratei de răspuns (RRL). RRL reduce efectul de amplificare atunci când un Rezolvitor DNS vizat interoghează serverele DNS.
Simptome
Atunci când se efectuează un atac de amplificare DNS, este posibil să observați una sau mai multe dintre următoarele simptome pe un server afectat:
-
Utilizarea CPU pentru DNS este ridicată.
-
Timpul de răspuns DNS crește și răspunsurile se pot opri.
-
Un număr neașteptat de răspunsuri NXDOMAIN sunt generate de serverul de autentificare.
Prezentare generală a atacului
Serverele DNS au fost întotdeauna vulnerabile la o serie de atacuri. Din acest motiv, serverele DNS sunt plasate în general în spatele echilibrelor de încărcare și firewallurilor într-un DMZ.
Pentru a exploata această vulnerabilitate, un atacator ar trebui să aibă mai mulți clienți DNS. De obicei, aceasta ar include o botnet, acces la zeci sau sute de remedieri DNS care sunt capabile să amplifice atacul și un serviciu de server DNS specializat pentru atacatori.
Cheia pentru atac este serverul DNS atacator special creat, care este autoritar pentru un domeniu pe care îl deține atacatorul. Pentru ca atacurile să aibă succes, remedieri DNS trebuie să știe cum să ajungă la domeniul atacatorului și la serverul DNS. Această combinație poate genera o mulțime de comunicații între recursive și serverul DNS de autoritate al victimei. Rezultatul este un atac DDoS.
Vulnerabilitate pentru MS DNS în intranetul corporativ
Domeniile interne, private nu se pot reface prin indicii rădăcină și cu serverele DNS de domeniu de nivel superior. Atunci când urmați cele mai bune practici, serverele DNS care sunt de autoritate pentru domenii private, interne, cum ar fi domenii Active Directory, nu pot fi accesate de pe Internet.
Deși o NXNSAttack a unui domeniu intern din rețeaua internă este posibilă din punct de vedere tehnic, ar necesita un utilizator rău intenționat în rețeaua internă care are acces la nivel de administrator pentru a configura serverele DNS interne să indice spre serverele DNS în domeniul atacatorului. Acest utilizator trebuie, de asemenea, să aibă posibilitatea de a crea o zonă rău intenționată în rețea și să plasați un server DNS special, capabil să realizeze NXNSAttack în rețeaua corporativă. Un utilizator care are acest nivel de acces va favoriza, în general, Stealth over anunțându-și prezența prin inițierea unui atac DNS DDoS foarte vizibil.
Vulnerabilitate pentru MS DNS orientat către margine
Un Rezolvitor DNS de pe Internet utilizează indicii rădăcină și servere de domeniu de nivel superior (TLD) pentru a rezolva domenii DNS necunoscute. Un atacator poate utiliza acest sistem DNS public pentru a utiliza orice Rezolvitor DNS orientat către Internet pentru a încerca amplificarea NXNSAttack. După ce se descoperă un vector de amplificare, acesta poate fi utilizat ca parte a unui atac Denial of Service (DDoS) împotriva oricărui server DNS care găzduiește un domeniu DNS public (domeniul victimei).
Un server DNS de margine care acționează ca resolver sau redirecționare poate fi utilizat ca vector de amplificare pentru atac, dacă sunt permise interogări DNS primite nesolicitate care provin de pe Internet. Accesul public permite unui client DNS rău intenționat să utilizeze resolver-ul ca parte a atacului de amplificare generală.
Serverele DNS cu autoritate pentru domeniile publice trebuie să permită traficul DNS de intrare nesolicitat de la resolvers care efectuează căutări recursive din indiciile rădăcină și din infrastructura DNS TLD. În caz contrar, accesul la domeniu nu reușește. Acest lucru determină ca toate serverele DNS cu autoritate de domeniu public să fie posibile victime ale unui NXNSAttack. Serverele DNS Microsoft orientate spre margine trebuie să ruleze Windows Server 2016 sau o versiune mai recentă pentru a obține asistență RRL.
Rezolvare
Pentru a rezolva această problemă, utilizați următoarea metodă pentru tipul de server corespunzător.
Pentru serverele DNS MS orientate către intranet
Riscul acestei exploatări este scăzut. Monitorizează serverele DNS interne pentru trafic neobișnuit. Dezactivați NXNSAttackers interne care se află pe intranetul firmei, așa cum sunt descoperite.
Pentru serverele DNS cu autoritate orientată spre margine
Activați RRL acceptate de Windows Server 2016 și versiunile mai recente de Microsoft DNS. Utilizarea RRL pe remedieri DNS minimizează amplificarea inițială a atacului. Utilizarea RRL pe un server DNS de autoritate pentru domeniu public reduce orice amplificare care se reflectă înapoi la resolver DNS. În mod implicit,RRL este dezactivat. Pentru mai multe informații despre RRL, consultați următoarele articole:
|
Rulează cmdletul PowerShell SetDNSServerResponseRateLimitingpentru a activa RRL utilizând valorile implicite. Dacă activarea RRL determină ca interogările DNS legitime să nu reușească, deoarece sunt suprapuse prea strâns, crește treptat valorile pentru parametrii răspuns/secși erori/sec până când serverul DNS răspunde la interogările care nu reușesc. Alți parametri pot ajuta, de asemenea, administratorii să gestioneze mai bine setările RRL. Aceste setări includ excepții RRL.
Pentru mai multe informații, consultați următorul articol Microsoft Docs:
Întrebări frecvente
Q1: atenuarea rezumată aici se aplică pentru toate versiunile de Windows Server?
A1: nu. Aceste informații nu se aplică la Windows Server 2012 sau 2012 R2. Aceste versiuni moștenite de Windows Server nu acceptă caracteristica RRL care reduce efectul de amplificare atunci când un Rezolvitor DNS vizat interoghează serverele DNS.
Q2: ce trebuie să facă clienții dacă au servere DNS care se află în rețele Edge care execută Windows Server 2012 sau Windows Server 2012 R2?
A2: Serverele DNS care se află în rețele Edge care execută Windows Server 2012 sau Windows Server 2012 R2 trebuie să facă upgrade la Windows Server 2016 sau la versiuni mai recente care acceptă RRL. RRL reduce efectul de amplificare atunci când un Rezolvitor DNS vizat interoghează serverele DNS.
Q3: Cum pot determina dacă RRL determină ca interogările DNS legitime să nu reușească?
A3: Dacă RRL este configurat pentru modul Logon , serverul DNS face toate calculele RRL. Cu toate acestea, în loc să luați măsuri preventive (cum ar fi eliminarea sau trunchierea răspunsurilor), serverul înregistrează în schimb acțiunile potențiale ca și cum s-ar fi activat RRL, apoi continuă să furnizeze răspunsurile uzuale.
