ADV200009 'de açıklanan DNS Yükseltme Kılavuzu

Özet

Kısa

19 Mayıs 2020 tarihinde, Microsoft Güvenlik Danışma belgesi ADV200009. Bu danışma belgesinde Israil araştırmacılar tarafından tanımlanan bir DNS yükseltme saldırısı açıklanmaktadır. NXNSAttack olarak bilinen saldırı, DNS bölgesi için yetkili olan Microsoft DNS ve BIND sunucuları dahil olmak üzere herhangi bir DNS sunucusunu hedefleyebilir.

Şirket intranetlerinde bulunan DNS sunucularında, Microsoft bu yararlanma riskini düşük olarak ücretlidir. Ancak, uç ağlardaki DNS sunucuları NXNSAttack 'de savunmasızdır. Windows Server 2016, Edge ağlarında bulunan DNS sunucuları, Windows Server 2016 veya yanıt hızı sınırını destekleyen sonraki sürümlere (RRL) yükseltilmelidir. RRL, hedeflenen DNS Çözümleyicisi DNS sunucularınızı sorguladığında yükseltme etkisini azaltır.  

Belirtiler

DNS yükseltme saldırısı yapılırken, etkilenen sunucuda aşağıdaki belirtilerden bir veya daha fazlasını gözlemleyebilirsiniz:

  • DNS için CPU kullanımı yükseltilebilir.

  • DNS yanıt süreleri artış ve yanıtlar durabilir.

  • Kimlik doğrulama sunucunuz beklenmeyen sayıda NXDOMAIN yanıtı oluşturdu.

Saldırıya genel bakış

DNS sunucuları her zaman bir saldırı dizisiyle savunmasızdır. Bu nedenle, DNS sunucuları genellikle bir DMZ yük dengeleyiciye ve güvenlik duvarlarına yerleştirilir.

Saldırganın bu güvenlik açığından yararlanabilmesi için birden çok DNS istemcisi olmalıdır. Bu, genellikle, saldırıyı ve özel bir saldırganın DNS sunucusu hizmetini yükseltme yeteneğine sahip bir botnet, düzinelerce veya yüzlerce DNS çözümleyicilerine erişim içerir.

Saldırının anahtarı, saldırganın sahip olduğu bir etki alanı için yetkili olan ve özel olarak oluşturulan saldırgan DNS sunucusudur. Saldırının başarılı olabilmesi için DNS çözümleyicilerine saldırganın etki alanına ve DNS sunucusuna nasıl ulaşabileceğinizi bilmek gerekir. Bu bileşim, özyinelemeli çözümleyiciler ile kurban 'in yetkili DNS sunucusu arasında çok fazla iletişim oluşturabilir. Sonuç bir Vseçdos saldırıdır.

Kuruluş intranetlerinde MS DNS Güvenlik Açığı

İç, özel etki alanları kök Ipuçları ve üst düzey etki alanı DNS sunucuları aracılığıyla çözümlenemez. En iyi yöntemleri izlediğinizde, Active Directory etki alanları gibi özel, iç etki alanları için yetkili DNS sunucuları internet 'ten erişilemez.

İç ağdan iç etki alanı içeren bir NXNSAttack olsa da, iç DNS sunucularını saldırgan etki alanındaki DNS sunucularını gösterecek şekilde yapılandırmak için yönetici düzeyinde erişimi olan bir kötü niyetli kullanıcı gerekir. Bu kullanıcının ayrıca ağda kötü niyetli bir bölge oluşturabilmelerini ve şirket ağında NXNSAttack 'i gerçekleştirebilen özel bir DNS sunucusu yerleştirmenizi gerekir. Bu erişim düzeyine sahip olan bir Kullanıcı, çok iyi görünür bir DNS ara  

Kenara bakan MS DNS Güvenlik Açığı

Internet 'teki DNS Çözümleyicisi, bilinmeyen DNS etki alanlarını çözmek için kök Ipuçlarını ve üst düzey etki alanı (TLD) sunucularını kullanır. Saldırgan, bu genel DNS sistemini kullanarak, NXNSAttack yükseltme Bir yükseltme vektörü keşfedildikten sonra, genel bir DNS etki alanı (kurbanı etki alanı) barındıran herhangi bir DNS sunucusuna hizmet reddi (DDoS) saldırısı gibi kullanılabilir.

Internet kaynaklı istenmeyen gelen DNS sorgularına izin verildiğinde, çözümleyici veya iletici olarak davranan bir Edge DNS sunucusu, saldırı için bir yükseltme vektörü olarak kullanılabilir. Genel erişim, kötü amaçlı bir DNS istemcisinin, bu çözümleyiciyi genel yükseltme saldırısı kapsamında kullanmasını sağlar.

Genel etki alanları için yetkili DNS sunucuları, kök Ipuçları ve TLD DNS altyapısıyla özyinelemeli aramalar yapan çözümleyiclardan gelen istenmeyen gelen DNS trafiğine izin vermelidir. Aksi halde, etki alanına erişim başarısız olur. Bu, tüm genel etki alanı yetkili DNS sunucularının, bir NXNSAttack. Microsoft DNS sunucularında, RRL desteği kazanmak için Windows Server 2016 veya sonraki bir sürümü çalışmalıdır.

Çözüm

Bu sorunu çözmek için, uygun sunucu türü için aşağıdaki yöntemi kullanın.

Intranet 'e yönelik MS DNS sunucuları için

Bu yararlanma riski düşüktür. İç DNS sunucularını alışılmadık trafik için izleyin. Şirket intranetinizde bulunan iç Nxnsattacranlarını keşfoldukları şekilde devre dışı bırakın.

Kenara bakan yetkili DNS sunucuları için

Windows Server 2016 ve Microsoft DNS 'in sonraki sürümleri tarafından desteklenen RRL 'yi etkinleştirin. DNS çözücüde RRL kullanma, ilk saldırı saldırılarını en aza indirir. Genel etki alanında RRL kullanma yetkili DNS sunucusu, DNS çözümleyiciye geri yansıtılan tüm yükseltme riskini azaltır. Varsayılan olarak,RRL devre dışı bırakıldı. RRL hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Varsayılan değerleri SetDNSServerResponseRateLimitingkullanarak RRL 'yi etkinleştirmek için SetDNSServerResponseRateLimiting PowerShell cmdlet 'ini çalıştırın. RRL 'yi etkinleştirmek, meşru DNS sorgularının çok sıkı kısıtlandığından dolayı başarısız olmasına neden oluyorsa, DNS sunucusu daha önce başarısız olan sorgulara yanıt verene kadar Yanıt/snve hatalar/sn parametrelerinin değerlerini artımlı olarak arttırır. Diğer parametreler de yöneticilerin RRL ayarlarını daha iyi yönetmesine yardımcı olabilir. Bu ayarlar RRL özel durumlarını içerir.

Daha fazla bilgi için aşağıdaki Microsoft docs makalesine bakın:  

DNS günlüğü ve tanılama

Sık sorulan sorular

S1: burada özetlenen azaltıcı etken Windows Server 'ın tüm sürümleri için geçerlidir mi?

A1: Hayır. Bu bilgiler Windows Server 2012 veya 2012 R2'ye uygulanmaz. Windows Server 'ın bu eski sürümleri, hedeflenen DNS Çözümleyicisi DNS sunucularınızı sorguladığında yükseltme etkisini azaltan RRL özelliğini desteklemez.

S2: Windows Server 2012 veya Windows Server 2012 R2 çalıştıran Edge ağlarında DNS sunucuları varsa, müşteriler ne yapmalıyım?

A2: Windows Server 2012 veya Windows Server 2012 R2 çalıştıran Edge ağlarında bulunan DNS sunucuları, Windows Server 2016 veya RRL 'yi destekleyen sonraki sürümlere yükseltilmelidir. RRL, hedeflenen DNS Çözümleyicisi DNS sunucularınızı sorguladığında yükseltme etkisini azaltır.

Q3: RRL 'nin meşru DNS sorgularına neden olup olmadığını nasıl belirleyebilirim?

A3: RRL yalnızca günlükmodu olarak YAPıLANDıRıLıRSA, DNS sunucusu tüm RRL hesaplamalarını yapar. Ancak, önleyici eylemler (örneğin, yanıtları bırakma veya kesilme) yerine, sunucu bunun yerine olası işlemleri RRL etkinleştirilmiş gibi günlüğe kaydeder ve normal yanıtları sağlamaya devam eder.

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yardımcı oldu mu?

Geri bildiriminiz için teşekkür ederiz!

Geri bildiriminiz için teşekkürler! Office destek temsilcilerimizden biriyle görüşmeniz yararlı olabilir.

×