Windows DNS Server Denial of Service-Schwachstelle

Publiziert am 24. Mai 2020 von Günter Born

[English]Noch ein Nachtrag von dieser Woche. Microsoft hat eine Sicherheitsmeldung zu einer DNS Server Denial of Service-Schwachstelle in Windows herausgegeben.

Anzeige

Das Ganze ist irgendwie bei mir hängen geblieben, da es am 20.5.2020 in mein Postfach gespült wurde. Hier die Meldung.

*********************************************************************
Title: Microsoft Security Advisory Notification
Issued: May 19, 2020
*********************************************************************

Security Advisories Released or Updated on May 19, 2020
=======================================================

* Microsoft Security Advisory ADV200009

ADV200009 | Windows DNS Server Denial of Service Vulnerability
– Reason for Revision: Information published.
– Originally posted: May 19, 2020
– Updated: N/A
– Version: 1.0

Der Hintergrund wird von Microsoft in ADV200009 erklärt. Microsoft ist sich einer Schwachstelle im Zusammenhang mit der Paketübermittlung in der DNS-Auflösung für Windows Server bewusst. Ein Angreifer könnte diese Schwachstelle für DoS-Angriffe ausnutzen, so dass der DNS-Serverdienst nicht mehr reagiert.

Die Schwachstelle aus Microsofts Sicht

Um diese Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer Zugriff auf mindestens einen Client und eine Domäne haben, die mit einer großen Menge an Verweisdatensätzen ohne Glue Records antwortet, die auf externe Opfer-Subdomänen verweisen. Beim Auflösen eines Namens vom Client des Angreifers kontaktiert der Resolver für jeden gefundenen Verweisungsdatensatz die Domäne des Opferse. Diese Aktion kann eine große Anzahl von Kommunikationen zwischen dem rekursiven Resolver und dem autoritativen DNS-Server des Opfers erzeugen, um einen Distributed-Denial-of-Service-Angriff (DDoS-Angriff) auszulösen.

NXNSAttack-Problematik

Wenn ich es nicht ganz verpeilt habe, müsste das die in obigem Tweet verlinkte NXNSAttack-Problematik (Amplification-Angriffe auf die Name-Server) sein.

Anzeige

Golem hat in diesem Beitrag etwas zu diesem Thema veröffentlicht. Microsoft hat im Artikel ADV200009 Abhilfemaßnahmen und Workarounds skizziert, mit denen Administratoren das Problem entschärfen können. Es läuft auf die Begrenzung der Antwortrate (Response Rate Limit) hinaus. Microsoft hat das in diesem Dokument beschrieben.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Windows DNS Server Denial of Service-Schwachstelle

  1. Martin Feuerstein sagt:
    24. Mai 2020 um 12:08 Uhr

    Wenn ich das Advisory richtig verstehe, nützt einem die Maßnahme von Microsoft nur, wenn man einen Name-Server für die eigene Zone auf Windows-Basis ins Internet stellt. Also nix, was die durchschnittliche interne Windows-Domäne betrifft.

    Interessant wäre eher ein Änderung bei der Rolle als Resolver, damit der eigene Nameserver nicht versehentlich das Opfer mit Anfragen bombardiert.

    Antworten
  2. Ärgere das Böse! sagt:
    24. Mai 2020 um 13:58 Uhr

    Frage eines IT-Unkundigen:
    "…Um diese Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer Zugriff auf mindestens einen Client und eine Domäne haben, die mit einer großen Menge an Verweisdatensätzen ohne Glue Records antwortet, die auf externe Opfer-Subdomänen verweisen…" Ust das auf den meisten Servern so?

    Antworten
    • Martin Feuerstein sagt:
      24. Mai 2020 um 14:58 Uhr

      Unüblich ist der DNS-Server, der die gefälschten Antworten gibt, um einen weiteren DNS-Server anzugreifen. Der Rest ist normaler Programmablauf.

      Ausnutzung könnte z. B. sein, dass ein beliebiger Client (PC oder Mobilgerät) eine Webseite aufruft, die z. B. in Form einer Werbe-Einblendung den Angreifer-Server anfragt und daraufhin den Resolver (die heimische Fritz!Box bzw. den DNS-Server des Providers) dazu bringt, massenweise Anfragen zu stellen.

      Antworten
  4. Dan sagt:
    25. Mai 2020 um 13:03 Uhr

    Kann mir jemand mal verraten, wie ich die Windows Server nun absichere? Set-DnsServerResponseRateLimiting und fertig oder welche PArameter müssen genau eingetragen werden?

    Antworten
    • Martin Feuerstein sagt:
      25. Mai 2020 um 14:32 Uhr

      Solange du den DC nicht als autoritativen DNS-Server für eine öffentliche Zone ins Netz stellst ist das mMn nicht relevant, selbst wenn werden "nur" DNS-Anfragen verlangsamt.

      Antworten
      • Anonymous sagt:
        25. Mai 2020 um 15:46 Uhr

        Unsere Infoflox macht DNS und ist gepatcht, das AD für interne DNS kann ich gar nicht mit dem Befehl nutzen. Wenn ich auf den AD Controller gehe, der auch das DNS übernimmt lässt sich der Befehl nicht nutzen – vermutlich weil wir noch Server 2012 einsetzen. Ich frage mich halt nun, ob und was ich machen soll. Man findet kaum Informationen.

        Antworten
        • Martin Feuerstein sagt:
          25. Mai 2020 um 19:41 Uhr

          Am Beispiel der obigen Grafik:
          – Victim, also autoritativer Nameserver öffentlich im Netz: Patch early, patch often (bzw. laut Microsoft die Antwortrate reduzieren)
          – Recursive Resolver (aka Fritz!Box oder lokaler DC): auf Updates warten
          – Autoritativer Name-Server, der falsche Ergebnisse zurückgibt: betreibst du doch hoffentlich nicht?!?

          Antworten

Schreibe einen Kommentar zu Anonymous Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.