Аннотация
Выделяет
19 мая 2020 г. Корпорация Майкрософт выпустила рекомендации по безопасности ADV200009. В этой статье описывается атака усиления DNS, идентифицированная с помощью Израильскийных исследователей. Атака, известная как NXNSAttack, может ориентироваться на любой DNS-сервер, включая Microsoft DNS и серверы привязки, которые являются удостоверяющими для зоны DNS.
Для DNS-серверов, размещенных в корпоративных интрасетях, корпорация Майкрософт расоценивает риск такого использования как низкий. Однако DNS-серверы, размещенные в пограничных сетях, уязвимы для NXNSAttack. DNS-серверы до Windows Server 2016, находящиеся в EDGE-сетях, должны быть обновлены до Windows Server 2016 или более поздней версии, которые поддерживают ограничение скорости ответа (RRL). RRL уменьшает эффект усиления, когда конечный сопоставитель DNS запрашивает DNS-серверы.
Проблемы
При атаке усиления DNS может возникнуть одна или несколько описанных ниже проблем на сервере, на котором выполняются действия.
-
Использование центрального процессора для DNS повышается.
-
Увеличиваются значения таймаутов DNS-ответов и могут остановиться.
-
Сервер аутентификации генерирует неожиданное количество ответов NXDOMAIN.
Общие сведения о атаках
DNS-серверы всегда уязвимы для массива атак. По этой причине DNS-серверы обычно помещаются за подсистемы балансировки нагрузки и брандмауэры в DMZ.
Чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь несколько DNS-клиентов. Обычно это относится к ботнет, доступу к десяткам или сотням арбитров DNS, которые способны расширяя атакам и специализированной службе DNS-сервер злоумышленника.
Ключом к атакам является специально сконструированный DNS-сервер, который является полномочным для домена, владеющего злоумышленником. Чтобы атака достигла успешной, арбитры DNS должны знать, как получить доступ к домену и DNS-серверу злоумышленника. Это сочетание может создавать большое количество сообщений между рекурсивными арбитрами конфликтов и удостоверяющим DNS-сервером жертвы. Результат – это Distributed атака.
Уязвимость в Microsoft DNS для корпоративных сетей Интранет
Внутренние, закрытые домены не разрешимы с помощью корневых ссылок и DNS-серверов верхнего уровня. Когда вы следите за рекомендациями, DNS-серверы, полномочные для частных, внутренних доменов, таких как домены Active Directory, не будут доступны через Интернет.
Несмотря на то что NXNSAttack внутренним доменом из внутренней сети технически возможно, для настройки внутренних DNS-серверов, которые будут указывать на DNS-серверы в домене злоумышленника, необходимо иметь доступ к внутреннему домену во внутренней сети, обладающей уровнем доступа на уровне администратора. Этот пользователь также должен иметь возможность создавать вредоносную зону в сети и добавлять специальные DNS-серверы, способные выполнять NXNSAttack в корпоративной сети. Пользователи с таким уровнем доступа обычно имеют более широкие возможности, чем объявление о присутствии, инициируя очень заметную атаку Distributed DNS.
Уязвимость в Microsoft DNS с интерфейсом Edge
Сопоставитель DNS в Интернете использует корневые ссылки и серверы верхнего уровня домен (TLD) для разрешения неизвестных DNS-доменов. Злоумышленник может использовать эту общедоступную DNS-систему для использования любого из Интернет-распознавателя DNS, чтобы попытаться протестировать NXNSAttack усиления. После обнаружения вектора усиления его можно использовать как часть отказа в обслуживании (Distributed) для атаки на любой DNS-сервер, на котором размещается общедоступный домен DNS (домен-жертва).
Пограничный DNS-сервер, который выступает в качестве распознавателя или пересылки, может использоваться в качестве вектора усиления для атаки, если разрешены входящие DNS-запросы, отправленные из Интернета. Открытый доступ позволяет вредоносному DNS-клиенту использовать арбитр как часть общей атаки для усиления.
Удостоверяющие DNS-серверы для общедоступных доменов должны допускает непредусмотренный входящий трафик DNS от арбитров конфликтов, которые выполняют рекурсивные уточняющие запросы из инфраструктуры DNS корневых ссылок и доменов доменных имен. В противном случае не удается получить доступ к домену. Это приведет к тому, что все полномочные DNS-серверы в общедоступных доменах будут возможной жертвами NXNSAttack. Для поддержки RRL можно использовать Windows Server 2016 или более поздней версии для DNS-серверов Microsoft.
Решение
Чтобы устранить эту проблему, используйте следующий способ для соответствующего типа сервера.
Для DNS-серверов MS в интрасети
Риск использования этой атаки низкий. Мониторинг внутренних DNS-серверов для необычного трафика. Отключите внутренний NXNSAttackers, который находится в корпоративной интрасети, как только они будут обнаружены.
Для полномочных DNS-серверов с пограничным подключением
Включите RRL, которое поддерживается в Windows Server 2016 и более поздних версиях Microsoft DNS. Использование RRL в разрешениях DNS сокращает первоначальный усиление атаки. Использование RRL на DNS-сервере общедоступного домена сокращает любые усиления, отраженные обратно распознавателя DNS. По умолчаниюRRL отключено. Дополнительные сведения о RRL можно найти в следующих статьях:
|
Запустите командлет PowerShell SetDNSServerResponseRateLimiting, чтобы включить RRL с помощью значений по умолчанию. Если при включении функции RRL требуется, чтобы появлялись недопустимые DNS-запросы, так как они загружаются слишком тесно, добавочно увеличивают значения параметров Response/secи Error/sec только до тех пор, пока DNS-сервер не ответит на запросы, которые не будут отвечать на запрос. Другие параметры также могут помочь администраторам лучше управлять параметрами RRL. Эти параметры включают исключения RRL.
Дополнительные сведения можно найти в следующей статье Microsoft "документы":
Типичные вопросы
Вопрос 1: делает ли это снижение, описанное в этой статье, применимо ко всем версиям Windows Server?
A1: Нет. Эти сведения не относятся к Windows Server 2012 и 2012 R2. Эти старые версии Windows Server не поддерживают функцию RRL, которая уменьшает эффект усиления, когда конечный сопоставитель DNS запрашивает DNS-серверы.
Q2: что делать с клиентами, если у них есть DNS-серверы, размещенные в пограничных сетях под управлением Windows Server 2012 или Windows Server 2012 R2?
A2: DNS-серверы, размещенные в пограничных сетях под управлением Windows Server 2012 или Windows Server 2012 R2, должны быть обновлены до Windows Server 2016 или более поздней версии, поддерживающей RRL. RRL уменьшает эффект усиления, когда конечный сопоставитель DNS запрашивает DNS-серверы.
Q3: как определить, вызывает ли RRL неверные DNS-запросы?
A3: Если RRL настроено на режим входа в систему , DNS-сервер производит все расчеты RRL. Однако вместо того, чтобы делать предупредительные действия (например, удалять или усекать), сервер заносит в журнал возможные действия, как если бы была включена RRL, а затем продолжает предоставлять обычные ответы.
