Windows DNS Server Denial of Service-Schwachstelle

[English]Noch ein Nachtrag von dieser Woche. Microsoft hat eine Sicherheitsmeldung zu einer DNS Server Denial of Service-Schwachstelle in Windows herausgegeben.


Anzeige

Das Ganze ist irgendwie bei mir hängen geblieben, da es am 20.5.2020 in mein Postfach gespült wurde. Hier die Meldung.

*********************************************************************
Title: Microsoft Security Advisory Notification
Issued: May 19, 2020
*********************************************************************

Security Advisories Released or Updated on May 19, 2020
=======================================================

* Microsoft Security Advisory ADV200009

ADV200009 | Windows DNS Server Denial of Service Vulnerability
– Reason for Revision: Information published.
– Originally posted: May 19, 2020
– Updated: N/A
– Version: 1.0

Der Hintergrund wird von Microsoft in ADV200009 erklärt. Microsoft ist sich einer Schwachstelle im Zusammenhang mit der Paketübermittlung in der DNS-Auflösung für Windows Server bewusst. Ein Angreifer könnte diese Schwachstelle für DoS-Angriffe ausnutzen, so dass der DNS-Serverdienst nicht mehr reagiert.

Die Schwachstelle aus Microsofts Sicht

Um diese Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer Zugriff auf mindestens einen Client und eine Domäne haben, die mit einer großen Menge an Verweisdatensätzen ohne Glue Records antwortet, die auf externe Opfer-Subdomänen verweisen. Beim Auflösen eines Namens vom Client des Angreifers kontaktiert der Resolver für jeden gefundenen Verweisungsdatensatz die Domäne des Opferse. Diese Aktion kann eine große Anzahl von Kommunikationen zwischen dem rekursiven Resolver und dem autoritativen DNS-Server des Opfers erzeugen, um einen Distributed-Denial-of-Service-Angriff (DDoS-Angriff) auszulösen.

NXNSAttack-Problematik


Anzeige

Wenn ich es nicht ganz verpeilt habe, müsste das die in obigem Tweet verlinkte NXNSAttack-Problematik (Amplification-Angriffe auf die Name-Server) sein.

Golem hat in diesem Beitrag etwas zu diesem Thema veröffentlicht. Microsoft hat im Artikel ADV200009 Abhilfemaßnahmen und Workarounds skizziert, mit denen Administratoren das Problem entschärfen können. Es läuft auf die Begrenzung der Antwortrate (Response Rate Limit) hinaus. Microsoft hat das in diesem Dokument beschrieben.


Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Windows DNS Server Denial of Service-Schwachstelle


  1. Anzeige
  2. Martin Feuerstein sagt:

    Wenn ich das Advisory richtig verstehe, nützt einem die Maßnahme von Microsoft nur, wenn man einen Name-Server für die eigene Zone auf Windows-Basis ins Internet stellt. Also nix, was die durchschnittliche interne Windows-Domäne betrifft.

    Interessant wäre eher ein Änderung bei der Rolle als Resolver, damit der eigene Nameserver nicht versehentlich das Opfer mit Anfragen bombardiert.

  3. Ärgere das Böse! sagt:

    Frage eines IT-Unkundigen:
    “…Um diese Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer Zugriff auf mindestens einen Client und eine Domäne haben, die mit einer großen Menge an Verweisdatensätzen ohne Glue Records antwortet, die auf externe Opfer-Subdomänen verweisen…” Ust das auf den meisten Servern so?

    • Martin Feuerstein sagt:

      Unüblich ist der DNS-Server, der die gefälschten Antworten gibt, um einen weiteren DNS-Server anzugreifen. Der Rest ist normaler Programmablauf.

      Ausnutzung könnte z. B. sein, dass ein beliebiger Client (PC oder Mobilgerät) eine Webseite aufruft, die z. B. in Form einer Werbe-Einblendung den Angreifer-Server anfragt und daraufhin den Resolver (die heimische Fritz!Box bzw. den DNS-Server des Providers) dazu bringt, massenweise Anfragen zu stellen.

  4. Anzeige

  5. Dan sagt:

    Kann mir jemand mal verraten, wie ich die Windows Server nun absichere? Set-DnsServerResponseRateLimiting und fertig oder welche PArameter müssen genau eingetragen werden?

    • Martin Feuerstein sagt:

      Solange du den DC nicht als autoritativen DNS-Server für eine öffentliche Zone ins Netz stellst ist das mMn nicht relevant, selbst wenn werden “nur” DNS-Anfragen verlangsamt.

      • Anonymous sagt:

        Unsere Infoflox macht DNS und ist gepatcht, das AD für interne DNS kann ich gar nicht mit dem Befehl nutzen. Wenn ich auf den AD Controller gehe, der auch das DNS übernimmt lässt sich der Befehl nicht nutzen – vermutlich weil wir noch Server 2012 einsetzen. Ich frage mich halt nun, ob und was ich machen soll. Man findet kaum Informationen.

        • Martin Feuerstein sagt:

          Am Beispiel der obigen Grafik:
          – Victim, also autoritativer Nameserver öffentlich im Netz: Patch early, patch often (bzw. laut Microsoft die Antwortrate reduzieren)
          – Recursive Resolver (aka Fritz!Box oder lokaler DC): auf Updates warten
          – Autoritativer Name-Server, der falsche Ergebnisse zurückgibt: betreibst du doch hoffentlich nicht?!?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.