Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Súhrn

Abstraktné

19. mája 2020 spoločnosť Microsoft vydala bezpečnostné poradenstvo ADV200009. Tento poradný článok popisuje útok na zosilnenie DNS, ktorý určili izraelskí vedci. Útok, známy ako NXNSAttack, sa môže zacieliť na akýkoľvek server DNS vrátane serverov DNS a BIND servery, ktoré sú smerodajné pre zónu DNS.

Pre servery DNS, ktoré sú umiestnené na firemných intranetoch, spoločnosť Microsoft sadzby riziko tohto zneužitia je nízka. Servery DNS, ktoré sú umiestnené v sieti Edge, sú však zraniteľné voči NXNSAttack. Servery DNS pre Windows Server 2016, ktoré sú umiestnené v sieti Edge, by sa mali inovovať na Windows Server 2016 alebo novšie verzie, ktoré podporujú obmedzenie počtu odpovedí (RRL). RRL redukuje efekt zosilnenia v prípade, že cieľový Prekladač DNS vyhľadáva servery DNS.  

Príznaky

Keď sa vytvorí útok na zosilnenie DNS, môžete pozorovať niektoré z nasledujúcich príznakov na príslušnom serveri:

  • Používanie CPU pre DNS je zvýšené.

  • Čas odozvy DNS sa môže predĺžiť a odozva sa môže zastaviť.

  • Neočakávaný počet odpovedí NXDOMAIN vygeneruje overovací server.

Prehľad útoku

Servery DNS boli vždy citlivé na pole útokov. Z tohto dôvodu sa servery DNS vo všeobecnosti umiestnia za load balancere a brány firewall v DMZ.

Ak chcete túto napadnuteľnosť využiť, útočník bude musieť mať viacero klientov DNS. Zvyčajne by to malo zahŕňať botnet, prístup k desiatkam alebo stovkám reriešiteľov DNS, ktoré dokážu zosilniť útok a špecializovanú službu DNS servera pre útočníkov.

Kľúčom k útoku je špeciálne vstavaný server DNS útočník, ktorý je autoritatívnym serverom pre doménu, ktorú vlastní útočník. Ak chcete, aby bol útok úspešný, prekladače DNS musia vedieť, ako sa dostať na doménu útočníka a DNS server. Táto kombinácia môže generovať veľa komunikácie medzi rekurzívnymi reriešiteľmi a autoritatívnym serverom DNS obete. Výsledkom je útok DDoS.

Zraniteľnosť pre MS DNS na podnikových intranetoch

Interné, súkromné domény nie sú minimαlneho prostredníctvom odkazov na koreňové servery a domén najvyššej úrovne domény DNS. Keď budete postupovať podľa najlepšej praxe, DNS servery, ktoré sú smerodajné pre súkromné, interné domény, ako napríklad domény služby Active Directory, nie sú dostupné z internetu.

Hoci je technicky možné NXNSAttack vnútornej domény z internej siete, vyžadovalo by to, aby bol zlomyseľný používateľ vo vnútornej sieti, ktorý má prístup na úrovni správcu na konfigurovanie interných serverov DNS na smerovanie na servery DNS v doméne útočníka. Tento používateľ musí byť schopný vytvoriť nebezpečnú zónu v sieti a dať špeciálny DNS server, ktorý dokáže vykonávať NXNSAttack v podnikovej sieti. Používateľ, ktorý má túto úroveň Accessu, bude vo všeobecnosti uprednostňovať Stealth oznámenie ich prítomnosti začatím vysoko viditeľného útoku DNS DDoS.  

Zraniteľnosť pre MS DNS smerujúci Edge

Preklad DNS na internete používa na riešenie neznámych domén DNS odkazy na koreňové servery a servery domény najvyššej úrovne (TLD). Útočník môže použiť tento verejný systém DNS na používanie ľubovoľného internetového prekladača DNS, aby sa pokúsil NXNSAttack zosilnenie. Po objavení vektora zosilnenia sa môže používať ako súčasť útoku na odmietnutie služby (DDoS) proti akémukoľvek serveru DNS, ktorý hosťuje verejnú doménu DNS (doménu obete).

Server Edge DNS, ktorý funguje ako preklad alebo preposielanie, sa môže použiť ako vektor zosilnenia pre útok, ak sú povolené nevyžiadané prichádzajúce dotazy DNS, ktoré pochádzajú z internetu. Prístup verejnosti umožňuje škodlivému klientovi DNS použiť preklad v rámci celkového útoku zosilnenia.

Smerodajné DNS servery pre verejné domény musia umožňovať nevyžiadaný prichádzajúci prenos DNS z preriešiteľných údajov, ktoré robia rekurzívny vyhľadávania z koreňových tipov a infraštruktúry DNS systému TLD. V opačnom prípade nie je prístup k doméne úspešný. To spôsobí, že všetky verejné doménové servery DNS sú možné obetiam NXNSAttack. Servery DNS s Edge-čelia by mali spustiť Windows Server 2016 alebo novšiu verziu a získať podporu RRL.

Riešenie

Ak chcete tento problém vyriešiť, použite pre príslušný typ servera nasledujúcu metódu.

Pre servery DNS s intranetovou stranou

Riziko tohto zneužitia je nízke. Monitorovanie interných serverov DNS na nezvyčajný prenos. Zakážte vnútorné NXNSAttackers, ktoré sú umiestnené na podnikovom intranete, ako sa zistia.

Pre smerodajné DNS servery s Edge-čelia

Povolenie RRL podporovaného systémom Windows Server 2016 a novšími verziami služby Microsoft DNS. Pri použití RRL v preriešiteľoch DNS sa minimalizuje počiatočné zosilnenie útoku. Používanie RRL na serveri DNS s verejným doménovým serverom redukuje akékoľvek zosilnenie, ktoré sa odrazí späť na preklad DNS. Na základe predvoleného nastaveniaRRL je vypnutá. Ďalšie informácie o RRL nájdete v nasledujúcich článkoch:

Spustiterutinu typu cmdlet prostredia SetDNSServerResponseRateLimiting PowerShell na povolenie RRL použitím predvolených hodnôt. SetDNSServerResponseRateLimiting Ak povolenie RRL spôsobí, že nesprávne dotazy DNS zlyhajú, pretože sú príliš prísne obmedzované, postupne zvyšujú hodnoty pre parametre Response/SECa chyby/SEC iba dovtedy, kým DNS server neodpovie na predchádzajúce dotazy. Ďalšie parametre môžu tiež pomôcť správcom lepšie spravovať nastavenia RRL. Tieto nastavenia zahŕňajú výnimky pre RRL.

Ďalšie informácie nájdete v nasledujúcom článku Microsoft docs:  

Zapisovanie do denníka a diagnostika DNS

Najčastejšie otázky

Q1: je zmenšenie, ktoré sa tu sumarizuje, vzťahuje na všetky verzie Windows servera?

A1: nie. Tieto informácie sa nevzťahujú na Windows Server 2012 alebo 2012 R2. Tieto staršie verzie systému Windows Server nepodporujú funkciu RRL, ktorá redukuje efekt zosilnenia, keď vyhľadá cielené riešenie DNS DNS servery.

Q2: čo by mali zákazníci robiť, ak majú DNS servery, ktoré sú umiestnené v sieti Edge, v ktorej je spustený Windows Server 2012 alebo Windows Server 2012 R2?

A2: Servery DNS, ktoré sú umiestnené v sieti Edge, ktoré bežia buď Windows Server 2012 alebo Windows Server 2012 R2, by sa mali inovovať na Windows Server 2016 alebo novšie verzie, ktoré podporujú RRL. RRL redukuje efekt zosilnenia v prípade, že cieľový Prekladač DNS vyhľadáva servery DNS.

Q3: ako môžem zistiť, či RRL spôsobuje zlyhanie DNS dotazov?

A3: Ak je RRL nakonfigurovaný na Prihlásenie do režimu, DNS Server vykoná všetky výpočty RRL. Namiesto prijatia preventívnych akcií (ako napríklad zvrhnutie alebo skrátenie odpovedí) však server namiesto toho zapíše potenciálne akcie, ako keby boli zapnuté RRL, a potom pokračuje v poskytovaní zvyčajných odpovedí.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×