สรุป
นามธรรม
เมื่อวันที่19พฤษภาคม๒๐๒๐คำแนะนำด้านความปลอดภัยของ Microsoft ADV200009 คำแนะนำนี้จะอธิบายเกี่ยวกับการโจมตี DNS ที่ได้รับการระบุโดยนักวิจัยของอิสราเอล การโจมตีที่เรียกว่า NXNSAttack สามารถกำหนดเป้าหมายเซิร์ฟเวอร์ DNS ใดๆรวมถึง Microsoft DNS และการผูกเซิร์ฟเวอร์ที่มีสิทธิ์สำหรับโซน DNS
สำหรับเซิร์ฟเวอร์ DNS ที่อยู่บนอินทราเน็ตขององค์กร Microsoft จะลดความเสี่ยงในการใช้ประโยชน์จากการใช้ประโยชน์นี้ให้ต่ำที่สุด อย่างไรก็ตามเซิร์ฟเวอร์ DNS ที่อาศัยอยู่บนเครือข่าย edge จะมีความเสี่ยงต่อการ NXNSAttack เซิร์ฟเวอร์ DNS ของ Windows Server ๒๐๑๖ที่อาศัยอยู่บนเครือข่าย edge ควรได้รับการอัปเกรดเป็น Windows Server ๒๐๑๖หรือเวอร์ชันที่ใหม่กว่าที่สนับสนุนการจำกัดอัตราการตอบสนอง (RRL) RRL จะลดเอฟเฟ็กต์การขยายเมื่อตัวจำแนก DNS ที่มีการกำหนดเป้าหมายแบบสอบถามเซิร์ฟเวอร์ DNS ของคุณ
อาการ
เมื่อมีการโจมตี DNS เพิ่มขึ้นคุณอาจสังเกตอาการต่อไปนี้บนเซิร์ฟเวอร์ที่ได้รับผลกระทบอย่างน้อยหนึ่งอย่างดังต่อไปนี้
-
การใช้งาน CPU สำหรับ DNS ถูกยกระดับ
-
การเพิ่มจำนวนครั้งของการตอบกลับ DNS และการตอบกลับอาจหยุดทำงาน
-
หมายเลขที่ไม่คาดคิดของการตอบสนอง NXDOMAIN จะถูกสร้างขึ้นโดยเซิร์ฟเวอร์การรับรองความถูกต้องของคุณ
ภาพรวมการโจมตี
เซิร์ฟเวอร์ DNS มีความเสี่ยงต่ออาร์เรย์ของการโจมตีเสมอ ด้วยเหตุนี้เซิร์ฟเวอร์ DNS จะถูกวางโดยทั่วไปที่อยู่ด้านหลังการโหลดบาลานเซอร์และไฟร์วอลล์ใน DMZ
เมื่อต้องการทำลายช่องโหว่นี้ผู้โจมตีจะต้องมีไคลเอ็นต์ DNS หลายรายการ โดยทั่วไปแล้วการดำเนินการนี้จะรวมถึงการบ็อตเน็ตการเข้าถึงหลายสิบหรือหลายร้อย resolvers DNS ที่สามารถขยายการโจมตีและบริการเซิร์ฟเวอร์ DNS ของผู้โจมตีที่เฉพาะเจาะจงได้
กุญแจสำคัญในการโจมตีคือเซิร์ฟเวอร์ DNS ของผู้โจมตีที่สร้างขึ้นเป็นพิเศษที่มีสิทธิ์สำหรับโดเมนที่ผู้โจมตีเป็นเจ้าของ สำหรับการโจมตีที่จะประสบความสำเร็จ DNS resolvers ต้องรู้วิธีการเข้าถึงโดเมนของผู้โจมตีและเซิร์ฟเวอร์ DNS ชุดนี้สามารถสร้างการสื่อสารจำนวนมากระหว่าง resolvers การทำซ้ำและเซิร์ฟเวอร์ DNS ที่มีสิทธิ์ของเหยื่อ ผลลัพธ์คือการโจมตี DDoS
ช่องโหว่สำหรับ MS DNS บนอินทราเน็ตขององค์กร
โดเมนภายในส่วนตัวจะไม่ resolvable ผ่านคำแนะนำรากและเซิร์ฟเวอร์ DNS ของโดเมนระดับบนสุด เมื่อคุณทำตามแนวทางปฏิบัติที่ดีที่สุดเซิร์ฟเวอร์ DNS ที่มีสิทธิ์สำหรับโดเมนภายในส่วนตัวเช่นโดเมน Active Directory จะไม่สามารถเข้าถึงได้จากอินเทอร์เน็ต
แม้ว่า NXNSAttack ของโดเมนภายในจากเครือข่ายภายในเป็นทางเทคนิคจะต้องใช้ผู้ใช้ที่เป็นอันตรายบนเครือข่ายภายในที่มีการเข้าถึงระดับผู้ดูแลระบบเพื่อกำหนดค่าเซิร์ฟเวอร์ DNS ภายในให้ชี้ไปที่เซิร์ฟเวอร์ DNS ในโดเมนผู้โจมตี ผู้ใช้นี้ยังต้องสามารถสร้างโซนที่เป็นอันตรายบนเครือข่ายและใส่เซิร์ฟเวอร์ DNS พิเศษที่สามารถดำเนินการ NXNSAttack บนเครือข่ายขององค์กรได้ ผู้ใช้ที่มีระดับการเข้าถึงนี้โดยทั่วไปจะมีการลักลอบใช้การประกาศการแสดงตนโดยการเริ่มการโจมตี DNS DDoS ที่มองเห็นได้อย่างมาก
ช่องโหว่สำหรับ MS DNS ที่หันหน้าไปทางขอบ
ตัวจำแนก DNS บนอินเทอร์เน็ตใช้คำแนะนำรากและเซิร์ฟเวอร์โดเมนระดับบนสุด (TLD) เพื่อแก้ไขโดเมน DNS ที่ไม่รู้จัก ผู้โจมตีสามารถใช้ระบบ DNS สาธารณะนี้เพื่อใช้ตัวจำแนก DNS ที่เชื่อมต่อกับอินเทอร์เน็ตเพื่อลองใช้การขยาย NXNSAttack หลังจากที่มีการค้นพบเวคเตอร์การขยายตัวจะสามารถใช้เป็นส่วนหนึ่งของการโจมตีการปฏิเสธการบริการ (DDoS) กับเซิร์ฟเวอร์ DNS ที่โฮสต์โดเมน DNS สาธารณะ (โดเมนที่เป็นเหยื่อ) ได้
เซิร์ฟเวอร์ DNS edge ที่ทำหน้าที่เป็นตัวจำแนกชื่อหรือตัวส่งต่อสามารถใช้เป็นเวคเตอร์การขยายตัวสำหรับการโจมตีถ้าคิวรี DNS ขาเข้าที่ไม่ได้รับอนุญาตที่มาจากอินเทอร์เน็ตจะได้รับอนุญาต การเข้าถึงสาธารณะอนุญาตให้ไคลเอ็นต์ DNS ที่เป็นอันตรายใช้ตัวจำแนกชื่อเป็นส่วนหนึ่งของการโจมตีโดยรวมของการขยาย
เซิร์ฟเวอร์ DNS ที่มีสิทธิ์สำหรับโดเมนสาธารณะต้องอนุญาตการรับส่งข้อมูล DNS ขาเข้าที่ไม่ได้ใช้งานจาก resolvers ที่กำลังทำการค้นหาแบบซ้ำจากคำแนะนำรากและโครงสร้างพื้นฐาน DNS TLD มิฉะนั้นการเข้าถึงโดเมนล้มเหลว การทำเช่นนี้จะทำให้โดเมนสาธารณะทั้งหมดมีสิทธิ์การใช้งานเซิร์ฟเวอร์ DNS ที่เป็นไปได้ของ NXNSAttack เซิร์ฟเวอร์ DNS ที่เชื่อมต่อขอบของ Microsoft ควรเรียกใช้ Windows Server ๒๐๑๖หรือเวอร์ชันที่ใหม่กว่าเพื่อรับการสนับสนุน RRL
การแก้ไข
เมื่อต้องการแก้ไขปัญหานี้ให้ใช้วิธีการต่อไปนี้สำหรับชนิดของเซิร์ฟเวอร์ที่เหมาะสม
สำหรับเซิร์ฟเวอร์ DNS ที่เชื่อมต่อกับอินทราเน็ต
ความเสี่ยงของการใช้ประโยชน์นี้อยู่ในระดับต่ำ ตรวจสอบเซิร์ฟเวอร์ DNS ภายในสำหรับการรับส่งข้อมูลที่ผิดปกติ ปิดใช้งาน NXNSAttackers ภายในที่อยู่บนอินทราเน็ตขององค์กรของคุณตามที่ค้นพบ
สำหรับเซิร์ฟเวอร์ DNS ที่มีสิทธิ์ด้านขอบด้านหน้า
เปิดใช้งาน RRL ที่ได้รับการสนับสนุนโดย Windows Server ๒๐๑๖และเวอร์ชันที่ใหม่กว่าของ Microsoft DNS การใช้ RRL บน DNS resolvers จะช่วยลดการขยายการโจมตีเริ่มต้น การใช้ RRL บนเซิร์ฟเวอร์ DNS ที่มีสิทธิ์ของโดเมนจะลดการขยายใดๆที่สะท้อนให้กลับไปยังตัวจำแนก DNS ตามค่าเริ่มต้นRRL ถูกปิดใช้งาน สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ RRL ให้ดูบทความต่อไปนี้:
เรียกใช้SetDNSServerResponseRateLimitingcmdlet PowerShell SetDNSServerResponseRateLimiting เพื่อเปิดใช้งาน RRL โดยใช้ค่าเริ่มต้น ถ้าการเปิดใช้งาน RRL ทำให้แบบสอบถาม DNS ที่ถูกต้องล้มเหลวเนื่องจากกำลังปริมาณเกินไป incrementally เพิ่มค่าสำหรับพารามิเตอร์การตอบสนอง/วินาทีและข้อผิดพลาด/วินาทีจนกว่าเซิร์ฟเวอร์ DNS จะตอบสนองต่อคิวรีที่ล้มเหลวก่อนหน้านี้ พารามิเตอร์อื่นๆอาจช่วยให้ผู้ดูแลระบบสามารถจัดการการตั้งค่า RRL ได้ดียิ่งขึ้น การตั้งค่าเหล่านี้รวมถึงข้อยกเว้น RRL
สำหรับข้อมูลเพิ่มเติมให้ดูบทความ Microsoft เอกสารต่อไปนี้:
คำถามที่ถามบ่อย
Q1: การบรรเทาที่ได้รับการสรุปที่ถูกนำไปใช้กับทุกเวอร์ชันของ Windows Server หรือไม่
A1: ไม่ใช่ ข้อมูลนี้จะไม่นำไปใช้กับ Windows Server ๒๐๑๒หรือ๒๐๑๒ R2 Windows Server รุ่นเก่าเหล่านี้ไม่สนับสนุนฟีเจอร์ RRL ที่ช่วยลดเอฟเฟ็กต์การขยายตัวเมื่อตัวระบุตำแหน่ง DNS ที่มีการกำหนดค่าแบบสอบถามเซิร์ฟเวอร์ DNS ของคุณ
Q2: ลูกค้าควรทำอย่างไรถ้าพวกเขามีเซิร์ฟเวอร์ DNS ที่อาศัยอยู่บนเครือข่าย edge ที่ใช้งาน Windows Server ๒๐๑๒หรือ Windows Server ๒๐๑๒ R2
A2: เซิร์ฟเวอร์ DNS ที่อาศัยอยู่บนเครือข่าย edge ที่ใช้งาน Windows Server ๒๐๑๒หรือ Windows Server ๒๐๑๒ R2 ควรได้รับการอัปเกรดเป็น Windows Server ๒๐๑๖หรือเวอร์ชันที่ใหม่กว่าที่สนับสนุน RRL RRL จะลดเอฟเฟ็กต์การขยายเมื่อตัวจำแนก DNS ที่มีการกำหนดเป้าหมายแบบสอบถามเซิร์ฟเวอร์ DNS ของคุณ
Q3: ฉันจะทราบได้อย่างไรว่า RRL ทำให้แบบสอบถาม DNS ที่ถูกต้องล้มเหลวหรือไม่
A3: ถ้า RRL ถูกกำหนดค่าเป็นโหมดLogOnlyเซิร์ฟเวอร์ DNS จะคำนวณ RRL ทั้งหมด อย่างไรก็ตามแทนที่จะดำเนินการเชิงป้องกัน (เช่นการตกลงหรือการตัดทอนการตอบสนอง) เซิร์ฟเวอร์จะบันทึกการกระทำที่อาจเป็นไปได้ว่าถ้า RRL ถูกเปิดใช้งานอยู่แล้วจึงยังคงให้คำตอบตามปกติ
