Vulnerabilidade do servidor DNS para ataques de espionagem do Cache do Servidor DNS

Este artigo fornece uma solução para um problema em que a vulnerabilidade do Servidor DNS para ataques de espionagem do Cache do Servidor DNS.

Aplica-se a: Windows Server 2012 R2
Número KB original: 2678371

Sintomas

O que é "espionagem de cache DNS" e como faço para evitar isso? descreve a espionagem de cache DNS como:

A espionagem de cache DNS é quando alguém consulta um servidor DNS para descobrir (espionagem) se o servidor DNS tem um registro DNS específico armazenado em cache e, portanto, deduzir se o proprietário do servidor DNS (ou seus usuários) visitou recentemente um site específico.
Isso pode revelar informações sobre o proprietário do servidor DNS, como qual fornecedor, banco, provedor de serviços etc. eles usam. Especialmente se isso for confirmado (bisbilhosado) várias vezes ao longo de um período.
Esse método pode até mesmo ser usado para coletar informações estatísticas, por exemplo, em que momento o proprietário do servidor DNS normalmente acessa seu banco líquido etc. O valor de TTL restante do registro DNS armazenado em cache pode fornecer dados muito precisos para isso.

A espionagem de cache DNS é possível mesmo que o servidor DNS não esteja configurado para resolver recursivamente para terceiros, desde que ele forneça registros do cache também para terceiros.

As auditorias de segurança podem relatar que várias implementações do Servidor DNS são vulneráveis a ataques de espionagem em cache que permitem que um invasor remoto identifique quais domínios e hosts [recentemente] foram resolvidos por um determinado servidor de nomes.

Depois que esse relatório de vulnerabilidade de espionagem de cache é lido:

Divulgação de informações remotas do cache do servidor DNS
Sinopse:
O servidor DNS remoto é vulnerável a ataques de espionagem em cache.
Descrição:
O servidor DNS remoto responde a consultas para domínios de terceiros que não têm o bit de recursão definido. Isso pode permitir que um invasor remoto determine quais domínios foram resolvidos recentemente por meio desse servidor de nomes e, portanto, quais hosts foram visitados recentemente. Por exemplo, se um invasor estivesse interessado em se sua empresa utiliza o serviços online de uma determinada instituição financeira, ele seria capaz de usar esse ataque para criar um modelo estatístico sobre o uso da empresa dessa instituição financeira. É claro que o ataque também pode ser usado para encontrar parceiros B2B, padrões de navegação na Web, servidores de email externos e muito mais. Observação: se esse for um servidor DNS interno não acessível a redes externas, os ataques serão limitados à rede interna. Isso pode incluir funcionários, consultores e potencialmente usuários em uma rede convidada ou conexão Wi-Fi, se houver suporte.
Fator de risco:
Médio
Pontuação base do CVSS:5,0
CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
Veja também:
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
Solução:
Entre em contato com o fornecedor do software DNS para obter uma correção.

Motivo

Esse erro normalmente é relatado em servidores DNS que fazem recursão.

Resolução

Não há nenhuma correção de código, pois essa é uma opção de configuração.

Há três opções:

  1. Deixe a recursão habilitada se o servidor DNS permanecer em uma rede corporativa que não pode ser acessada por clientes não confiáveis

  2. Não permitir acesso público a servidores DNS que fazem recursão

  3. Desabilitar recursão

Mais informações

Por padrão, os Servidores DNS da Microsoft são configurados para permitir a recursão.

A recursão de nome pode ser desabilitada globalmente em um Servidor DNS da Microsoft, mas não pode ser desabilitada por cliente ou por interface.

A maioria dos Servidores DNS da Microsoft é reinstalada com a função de servidor controlador de domínio. Esses servidores normalmente hospedam zonas e resolvem nomes DNS para dispositivos | dispositivos, clientes membros, servidores membros e controladores de domínio em uma floresta do Active Directory, mas também podem resolver nomes para partes maiores de uma rede corporativa. Como os Servidores DNS da Microsoft normalmente são implantados por trás de firewalls em redes corporativas, eles não estão acessíveis a clientes não confiáveis. Os administradores de servidores nessa configuração devem considerar se é necessário desabilitar ou limitar a recursão de DNS.

Desabilitar a recursão globalmente não é uma alteração de configuração que deve ser levada em conta, pois significa que o servidor DNS não pode resolver nomes DNS em zonas que não são mantidas localmente. Isso requer um planejamento de DNS cuidadoso. Por exemplo, os clientes normalmente não podem ser apontados diretamente para esses servidores.

A decisão de desabilitar a recursão (ou não) deve ser tomada com base na função que o servidor DNS deve fazer dentro da implantação. Se o servidor for destinado a repetir nomes para seus clientes, a recursão não poderá ser desabilitada. Se o servidor destina-se a retornar dados somente de zonas locais e nunca se destina a recursão ou encaminhamento para clientes, a recursão pode ser desabilitada.