[English]Noch ein Nachtrag von dieser Woche. Microsoft hat eine Sicherheitsmeldung zu einer DNS Server Denial of Service-Schwachstelle in Windows herausgegeben.
Anzeige
Das Ganze ist irgendwie bei mir hängen geblieben, da es am 20.5.2020 in mein Postfach gespült wurde. Hier die Meldung.
*********************************************************************
Title: Microsoft Security Advisory Notification
Issued: May 19, 2020
*********************************************************************
Security Advisories Released or Updated on May 19, 2020
=======================================================
* Microsoft Security Advisory ADV200009
Anzeige
– ADV200009 | Windows DNS Server Denial of Service Vulnerability
– Reason for Revision: Information published.
– Originally posted: May 19, 2020
– Updated: N/A
– Version: 1.0
Der Hintergrund wird von Microsoft in ADV200009 erklärt. Microsoft ist sich einer Schwachstelle im Zusammenhang mit der Paketübermittlung in der DNS-Auflösung für Windows Server bewusst. Ein Angreifer könnte diese Schwachstelle für DoS-Angriffe ausnutzen, so dass der DNS-Serverdienst nicht mehr reagiert.
Die Schwachstelle aus Microsofts Sicht
Um diese Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer Zugriff auf mindestens einen Client und eine Domäne haben, die mit einer großen Menge an Verweisdatensätzen ohne Glue Records antwortet, die auf externe Opfer-Subdomänen verweisen. Beim Auflösen eines Namens vom Client des Angreifers kontaktiert der Resolver für jeden gefundenen Verweisungsdatensatz die Domäne des Opferse. Diese Aktion kann eine große Anzahl von Kommunikationen zwischen dem rekursiven Resolver und dem autoritativen DNS-Server des Opfers erzeugen, um einen Distributed-Denial-of-Service-Angriff (DDoS-Angriff) auszulösen.
NXNSAttack-Problematik
Wenn ich es nicht ganz verpeilt habe, müsste das die in obigem Tweet verlinkte NXNSAttack-Problematik (Amplification-Angriffe auf die Name-Server) sein.
#NXNSAttack can abuse #DNS servers for amplifying #DoS attacks. Please patch #BIND (CVE-2020-8616), #Unbound (CVE-2020-12662), #Knot (CVE-2020-12667) und #PowerDNS (CVE-2020-10995) etc. – https://t.co/hFr0Tsp8SV pic.twitter.com/Ho4gilqbpk
— CERT-Bund (@certbund) May 21, 2020
Golem hat in diesem Beitrag etwas zu diesem Thema veröffentlicht. Microsoft hat im Artikel ADV200009 Abhilfemaßnahmen und Workarounds skizziert, mit denen Administratoren das Problem entschärfen können. Es läuft auf die Begrenzung der Antwortrate (Response Rate Limit) hinaus. Microsoft hat das in diesem Dokument beschrieben.
Anzeige
Wenn ich das Advisory richtig verstehe, nützt einem die Maßnahme von Microsoft nur, wenn man einen Name-Server für die eigene Zone auf Windows-Basis ins Internet stellt. Also nix, was die durchschnittliche interne Windows-Domäne betrifft.
Interessant wäre eher ein Änderung bei der Rolle als Resolver, damit der eigene Nameserver nicht versehentlich das Opfer mit Anfragen bombardiert.
Frage eines IT-Unkundigen:
"…Um diese Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer Zugriff auf mindestens einen Client und eine Domäne haben, die mit einer großen Menge an Verweisdatensätzen ohne Glue Records antwortet, die auf externe Opfer-Subdomänen verweisen…" Ust das auf den meisten Servern so?
Unüblich ist der DNS-Server, der die gefälschten Antworten gibt, um einen weiteren DNS-Server anzugreifen. Der Rest ist normaler Programmablauf.
Ausnutzung könnte z. B. sein, dass ein beliebiger Client (PC oder Mobilgerät) eine Webseite aufruft, die z. B. in Form einer Werbe-Einblendung den Angreifer-Server anfragt und daraufhin den Resolver (die heimische Fritz!Box bzw. den DNS-Server des Providers) dazu bringt, massenweise Anfragen zu stellen.
Dabei geht es doch nicht nur um Ms DNS
https://www.golem.de/news/nxnsattack-effizienter-angriff-auf-nameserver-2005-148594.html
Kann mir jemand mal verraten, wie ich die Windows Server nun absichere? Set-DnsServerResponseRateLimiting und fertig oder welche PArameter müssen genau eingetragen werden?
Solange du den DC nicht als autoritativen DNS-Server für eine öffentliche Zone ins Netz stellst ist das mMn nicht relevant, selbst wenn werden "nur" DNS-Anfragen verlangsamt.
Unsere Infoflox macht DNS und ist gepatcht, das AD für interne DNS kann ich gar nicht mit dem Befehl nutzen. Wenn ich auf den AD Controller gehe, der auch das DNS übernimmt lässt sich der Befehl nicht nutzen – vermutlich weil wir noch Server 2012 einsetzen. Ich frage mich halt nun, ob und was ich machen soll. Man findet kaum Informationen.
Am Beispiel der obigen Grafik:
– Victim, also autoritativer Nameserver öffentlich im Netz: Patch early, patch often (bzw. laut Microsoft die Antwortrate reduzieren)
– Recursive Resolver (aka Fritz!Box oder lokaler DC): auf Updates warten
– Autoritativer Name-Server, der falsche Ergebnisse zurückgibt: betreibst du doch hoffentlich nicht?!?