Vulnerabilidade do servidor DNS para ataques de espionagem do Cache do Servidor DNS
Este artigo fornece uma solução para um problema em que a vulnerabilidade do DNS Server para ataques de espionagem do Cache do Servidor DNS.
Aplica-se a: Windows Server 2012 R2
Número de KB original: 2678371
Sintomas
O que é "bisbilhotamento de cache DNS" e como impedi-lo? descreve o cache DNS bisbilhotando como:
A espionagem de cache DNS é quando alguém consulta um servidor DNS para descobrir (bisbilhoteiro) se o servidor DNS tem um registro DNS específico armazenado em cache e, assim, deduzir se o proprietário do servidor DNS (ou seus usuários) visitou recentemente um site específico.
Isso pode revelar informações sobre o proprietário do servidor DNS, como qual fornecedor, banco, provedor de serviços, etc. eles usam. Especialmente se isso for confirmado (bisbilhotado) várias vezes ao longo de um período.
Esse método poderia até mesmo ser usado para coletar informações estatísticas - por exemplo, em que momento o proprietário do servidor DNS normalmente acessa seu banco líquido etc. O valor TTL restante do registro DNS armazenado em cache pode fornecer dados muito precisos para isso.A espionagem de cache DNS é possível mesmo que o servidor DNS não esteja configurado para resolve recursivamente para terceiros, desde que forneça registros do cache também para terceiros.
Auditorias de segurança podem relatar que várias implementações do DNS Server são vulneráveis a ataques de espionagem em cache que permitem que um invasor remoto identifique quais domínios e hosts foram [recentemente] resolvidos por um determinado servidor de nome.
Depois que esse relatório de vulnerabilidade de espionagem de cache for lido:
Divulgação de informações remotas do cache do servidor DNS
Sinopse:
O servidor DNS remoto é vulnerável a ataques de espionagem em cache.
Descrição:
O servidor DNS remoto responde a consultas para domínios de terceiros que não têm o conjunto de bits de recursão. Isso pode permitir que um invasor remoto determine quais domínios foram resolvidos recentemente por meio desse servidor de nome e, portanto, quais hosts foram visitados recentemente. Por exemplo, se um invasor estivesse interessado em saber se sua empresa utiliza o serviços online de uma determinada instituição financeira, ele seria capaz de usar esse ataque para criar um modelo estatístico sobre o uso da empresa dessa instituição financeira. É claro que o ataque também pode ser usado para encontrar parceiros B2B, padrões de navegação na Web, servidores de email externos e muito mais. Observação: se este for um servidor DNS interno não acessível a redes externas, os ataques serão limitados à rede interna. Isso pode incluir funcionários, consultores e usuários potencialmente em uma rede de convidado ou conexão WiFi, se houver suporte.
Fator de risco:
Médio
Pontuação base do CVSS:5.0
CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
Veja também:
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
Solução:
Entre em contato com o fornecedor do software DNS para obter uma correção.
Motivo
Normalmente, esse erro é relatado em Severs DNS que fazem recursão.
Resolução
Não há correção de código, pois essa é uma opção de configuração.
Há três opções:
Deixe a recursão habilitada se o Servidor DNS permanecer em uma rede corporativa que não pode ser acessada por clientes não confiáveis
Não permitir acesso público a servidores DNS que fazem recursão
Desabilitar a recursão
Mais informações
Por padrão, os Servidores DNS da Microsoft são configurados para permitir a recursão.
A recursão de nomes pode ser desabilitada globalmente em um Servidor DNS da Microsoft, mas não pode ser desabilitada por cliente ou por interface.
A maioria dos Servidores DNS da Microsoft é coinstalada com a função de servidor controlador de domínio. Esses servidores normalmente hospedam zonas e resolve nomes DNS para dispositivos | dispositivos, clientes membros, servidores membros e controladores de domínio em uma floresta do Active Directory, mas também podem resolve nomes para partes maiores de uma rede corporativa. Como os Servidores DNS da Microsoft normalmente são implantados atrás de firewalls em redes corporativas, eles não são acessíveis a clientes não confiáveis. Os administradores de servidores nessa configuração devem considerar se é necessário desabilitar ou limitar a recursão DNS.
Desabilitar a recursão globalmente não é uma alteração de configuração que deve ser tomada de ânimo leve, pois significa que o servidor DNS não pode resolve nomes DNS em zonas que não são mantidas localmente. Isso requer um planejamento DNS cuidadoso. Por exemplo, os clientes normalmente não podem ser apontados diretamente para esses servidores.
A decisão de desabilitar a recursão (ou não) deve ser tomada com base em qual função o servidor DNS deve fazer na implantação. Se o servidor for destinado a recursar nomes para seus clientes, a recursão não poderá ser desabilitada. Se o servidor destina-se a retornar dados somente de zonas locais e nunca tiver a intenção de repetir ou encaminhar para clientes, a recursão poderá ser desabilitada.
Links relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de