Уязвимость при обработке запросов к службе dns

Обновлено: 06.07.2024

Существует множество DNS-решений: BIND, Microsoft DNS Server, Open DNS и другие. Все они требуют защиты. Ведь, если хакер атакует DNS-сервер, то пользователи будут попадаться в ловушку, даже не подозревая об этом.

Содержание

Чем опасны DNS-атаки

Атаки на DNS можно условно разделить на две категории.

Первая категория – это атаки на уязвимости в DNS-серверах. С этим подвидом атак связаны следующие опасности:

  • Во–первых, в результате DNS-атак пользователь рискует не попасть на нужную страницу. При вводе адреса сайта атакованный DNS будет перенаправлять запрос на подставные страницы.
  • Во–вторых, в результате перехода пользователя на ложный IP–адрес хакер может получить доступ к его личной информации. При этом пользователь даже не будет подозревать, что его информация рассекречена.

Вторая категория – это DDoS-атаки, приводящие к неработоспособности DNS-сервера. При недоступности DNS-сервера пользователь не сможет попасть на нужную ему страницу, так как его браузер не сможет найти IP-адрес, соответствующий введённому адресу сайта. DDoS-атаки на DNS-сервера могут осуществляться как за счёт невысокой производительности DNS-сервера, так и за счёт недостаточной ширины канала связи. Потенциально DDoS-атаки второго вида могут иметь мощность до 70 Гбит/с при использовании техник наподобие DNS Amplification и пр.

Инциденты


В октябре 2002 года неизвестные пытались "задедосить" 10 из 13 DNS–серверов верхнего уровня.

В декабре 2009 года из-за подмены DNS–записи в течение часа для пользователей был недоступен сервис Twitter. Акция носила политический характер, и вместо интерфейса социальной сети на главной странице ресурса отображались предостережения иранских хакеров по поводу американской агрессии.

В 2009 году, злоумышленники пытались нарушить работу как минимум двух корневых DNS-серверов.

2012 год был годом DNS-атак. Хотя DNS-атаки уже давно известны, за 2012 год они возникали гораздо чаще обычного, и, что более важно, – они стали более изощренными и влекут за собой более серьезные последствия.

Почему популярность DNS-атак возросла? Ответ можно найти, изучив недавнюю историю DoS/DDoS-атак. Хотя DoS/DDoS-атаки появились одновременно с появлением сети Интернет, они заняли лидирующую позицию среди атак со второй половины 2010, в частности с тех пор, как группа Anonymous выбрала их в качестве основного метода нападения. Вначале организации были абсолютно не готовы к защите, и любые атаки злоумышленников достигали цели.

Положение изменилось к концу 2011 года, когда организации стали внедрять системы отражения для противодействия DoS/DDoS атакам, что побудило злоумышленников искать пути обхода защитных систем, используя более изощренные векторы атак. При таком положении вещей DNS-сервер стал подходящей целью. Изучив информацию об атаках за 2012 год, можно отметить рост числа DNS-атак на 170% по сравнению с 2011 годом. Почти половина состоит из изощренных атак с использованием отражения запросов или рекурсивных запросов, для осуществления которых, даже не требуется наличия DNS-сервера у организации, являющейся целью атаки.

DNS-атаки показывают динамику развития сферы DoS/DDoS в целом. Несмотря на часто встречающееся наивное восприятие DoS/DDoS как атак, для эффективности которых требуется грубая отправки большого количества трафика, DNS-атаки доказывают обратное. Сложные DNS-атаки могут носить асимметричный характер, и могут быть мощными и разрушительными при относительно низкой скорости и интенсивности атаки. Растущая сложность относится не только к DNS-атакам, но является общей чертой развития сферы DoS/DDoS-атак.

В 2012 году были проведены крупномасштабные DNS-атаки на следующие авторитетные организации:

Image:Атака посредством отражения DNS-запросов.jpg

Статистика атак в мире

2020: Индия стала лидером по DNS-атакам

В середине июня 2020 года компания по кибербезопасности EfficientIP опубликовала отчет по DNS-атакам, согласно которому Индия стала лидером по этому виду киберугроз. В стране было зафиксировано самое большое количество таких атак, по 12,13 на организацию, а индийские фирмы потеряли по меньшей мере $784 000.

Хакеры украли конфиденциальную информацию о клиентах почти 27% индийских компаний, тогда как во всем остальном мире эта доля составила 16%. В результате атак время простоя облачных сервисов в стране достигло 65%.


EfficientIP опубликовала отчет по DNS-атакам, согласно которому Индия стала лидером по этому виду киберугроз

DNS-спуфинг, также известный как отравление кэша DNS, является одной из форм взлома компьютерных сетей, в котором данные кэша доменных имен изменяются злоумышленником, с целью возврата ложного IP-адреса. Это приводит к атаке посредника на компьютер злоумышленника (или любой другой компьютер). Последствия таких атак могут серьезно пошатнуть финансовое положение компании и даже полностью потопить бизнес. Специалисты, подготовившие отчет, считают, что обеспечение доступности и целостности службы DNS должно стать приоритетом для любой организации.

Во всем мире 79% организаций рано или поздно подвергались DNS-атакам, при этом каждая обходилась в среднем в $924 000. В 2020 году отмечалось по 9,5 атак на организацию. В отчете также указано, что число предприятий, пострадавших от простоя облачных сервисов, увеличилось с 41% в 2019 году до 50% в 2020 году. При этом 25% компаний не проводят аналитику своего DNS-трафика. [1]

Виды атак

Основной причиной такой подверженности DNS-систем угрозам является то, что они работают по протоколу UDP, более уязвимому, чем TCP.

Существует несколько способов атаки на DNS. Первый тип – это создание обманного DNS-сервера вследствие перехвата запроса. Механизм данной атаки очень прост. Хакер – атакующий, ждет DNS-запроса от компьютера жертвы. После того как атакующий получил запрос, он извлекает из перехваченного пакета IP–адрес запрошенного хоста. Затем генерируется пакет, в котором злоумышленник представляется целевым DNS–сервером. Сама генерация ответного пакета так же проста: хакер в ложном ответе жертве в поле IP DNS–сервера прописывает свой IP. Теперь компьютер жертвы принимает атакующего за реальный DNS. Когда клиент отправляет очередной пакет, атакующий меняет в нем IP-адрес отправителя и пересылает далее на DNS. В результате настоящий DNS-сервер считает, что запросы отправляет хакер, а не жертва. Таким образом, атакующий становится посредником между клиентом и реальным DNS–сервером. Далее хакер может исправлять запросы жертвы по своему усмотрению и отправлять их на реальный DNS. Но перехватить запрос можно, только если атакующая машина находится на пути основного трафика или в сегменте DNS–сервера.

Второй способ атаки применяется удаленно, если нет доступа к трафику клиента. Для генерации ложного ответа необходимо выполнение нескольких пунктов. Во-первых, совпадение IP-адреса отправителя ответа с адресом DNS-сервера. Затем, совпадение имен, содержащихся в DNS–ответе и запросе. Кроме того, DNS–ответ должен посылаться на тот же порт, с которого был отправлен запрос. Ну и, наконец, в пакете DNS–ответа поле ID должно совпадать с ID в запросе.

Третий метод направлен на атаку непосредственно DNS–сервера. В результате такой атаки по ложным IP-адресам будет ходить не отдельный клиент-жертва, а все пользователи, обратившиеся к атакованному DNS. Как и в предыдущем случае, атака может проводиться из любой точки сети. При отправке клиентом запроса на DNS–сервер, последний начинает искать в своем кэше подобный запрос. Если до жертвы такой запрос никто не посылал, и он не был занесен в кэш, сервер начинает посылать запросы на другие DNS-сервера сети в поисках IP–адреса, соответствующего запрошенному хосту.

Для атаки хакер посылает запрос, который заставляет сервер обращаться к другим узлам сети и ждать от них ответа. Отправив запрос, злоумышленник начинает атаковать DNS потоком ложных ответных пакетов. Напоминает ситуацию из предыдущего метода, но хакеру не надо подбирать порт, так как все сервера DNS "общаются" по выделенному 53 порту. Остается только подобрать ID. Когда сервер получит ложный ответный пакет с подходящим ID, он начнет воспринимать хакера как DNS и даст клиенту IP–адрес, посланный атакующим компьютером. Далее запрос будет занесен в кэш, и при последующих подобных запросах пользователи будут переходить на подставной IP.

Простой DNS-флуд

Используя простой DNS-флуд, злоумышленник отправляет множественные DNS-запросы на DNS-сервер, переполняя сервер запросами и потребляя его ресурсы. Такой метод атаки является привлекательным, поскольку он относительно прост в исполнении и позволяет скрыть личность злоумышленников.

Злоумышленник генерирует DNS-пакеты, которые отправляются посредством UDP-протокола на DNS-сервер. Стандартный ПК может сгенерировать 1000 DNS-запросов в секунду, тогда как обычный DNS-сервер может обработать только 10000 DNS-запросов в секунду. Другими словами, для того, чтобы вывести из строя DNS-сервер, потребуется всего 10 компьютеров. Поскольку DNS-сервера главным образом используют UDP-протокол, злоумышленникам не требуется устанавливать соединения, и они могут изменить IP-адрес источника и замаскироваться. Это свойство также на руку злоумышленниками – атаку, исходящую от множества измененных IP-адресов источника, тяжелее отразить, чем ту, которая исходит от ограниченного списка IP-адресов.

Image:DNS-флуд.jpg

Атака посредством отраженных DNS-запросов

Благодаря асимметричному характеру, атака с помощью отраженных DNS-запросов позволяет создать эффект переполнения, имея в распоряжении ограниченные ресурсы.

Злоумышленник отправляет DNS-запрос на один или несколько сторонних DNS-серверов, которые не являются реальными объектами нападения. Злоумышленники изменяют IP-адрес источника DNS-запроса на IP-адрес целевого сервера (объекта нападения), тогда ответ сторонних серверов будет отправлен на сервер, который является целью нападения.

В процессе атаки используется эффект усиления, при котором ответ на DNS-запрос в 3-10 раз больше, чем сам DNS-запрос. Другими словами, на атакуемый сервер поступает гораздо больше трафика по сравнению с небольшим количеством запросов, сгенерированных злоумышленником. Атака посредством отраженных запросов демонстрирует, что организации не требуется владеть DNS-сервером, чтобы стать объектом DNS-атаки, поскольку целью атаки является вывод из строя канала интернет-соединения или межсетевого экрана.

Image:атаки путем отражения DNS-запросов.jpg

Атаки, выполняемые посредством отраженных DNS-запросов, могут включать несколько уровней усиления:

  • Естественный – DNS-пакеты, отправляемые в ответ на запрос, в несколько раз крупнее пакетов, которые отправляются при запросе. Таким образом, даже самая базовая атака может получить 3-4 кратное усиление.
  • Выборочный – ответы на DNS-запросы имеют различный размер: в ответ на некоторые DNS-запросы отправляется короткий ответ, в ответ на другие ответ гораздо больше. Более находчивый злоумышленник может сначала определить, какие доменные имена в ответе сервера имеют больший размер. Отправляя запросы только для таких доменных имен, злоумышленник может достигать 10-кратного усиления.
  • Настроенный вручную – на высоком уровне злоумышленники могут разработать определенные домены, для отправки имен которых требуется пакеты огромных размеров. Отправляя запросы только на такие специально созданные доменные имена, злоумышленник может достигать 100-кратного усиления.

Степень анонимности при такой атаке возрастает с увеличением ее размаха. Помимо изменения SRC IP (как при простом DNS-флуде), атака сама по себе производится не напрямую – запросы на атакуемый сервер отправляются сторонним сервером.

Атака с помощью рекурсивных DNS-запросов

Атака посредством рекурсивных запросов является наиболее сложным и асимметричным методом атаки на DNS-сервер, для ее организации требуются минимальные вычислительные ресурсы, а результат приводит к интенсивному потреблению ресурсов DNS-сервера, который подвергается нападению.

Image:Атака с помощью рекурсивных DNS-запросов.jpg

Асимметричный характер рекурсивной атаки и низкая скорость затрудняют борьбу с такими атаками. Рекурсивная атака может быть пропущена как системами защиты, так и людьми, которые больше сосредоточены на выявлении атак с большим объемом.

Атака типа Garbage DNS

Как подразумевает ее название, такая атака переполняет DNS-сервер «мусорным» трафиком, отправляя пакеты данных большого размера (1500 байт или больше) на его UDP-порт 53. Концепция такой атаки состоит в том, чтобы переполнить сетевой канал пакетами данных большого размера. Злоумышленники могут генерировать потоки «мусорных» пакетов и с помощью других протоколов (UDP-порт 80 также часто используется); но при использовании других протоколов объект может остановить атаку, заблокировав порт на уровне ISP без каких-либо последствий. Протоколом, для которого такая защита недоступна, является протокол DNS, поскольку большинство организаций никогда не закроет этот порт.

Image:Атака типа Garbage DNS.jpg

Защита от атак

Domain Name System Security Extensions

Для обеспечения безопасности DNS планируется развертывание Domain Name System Security Extensions (DNSSEC). Однако DNSSEC не может оказать противодействие DDoS-атакам и сам по себе может быть причиной amplification-атак.

Атаки на DNS приобрели высокую популярность, поскольку они предоставляют злоумышленникам множество преимуществ:

Уязвимость при разрешении DNS делает возможным удаленное выполнение кода (2509553)

Дата публикации: 12 апреля 2011 г. | Дата обновления: 13 марта 2012 г.

Версия: 1.1

Общие сведения

Аннотация

Данное обновление для системы безопасности устраняет обнаруженную пользователями уязвимость при разрешении DNS-имен в Windows. Эта уязвимость делает возможным удаленное выполнение кода, если злоумышленник получает доступ к сети, а затем создает программу для рассылки целевым системам специально созданных широковещательных запросов LLMNR. Стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов корпоративной среды. Согласно лучшим методикам, на подключенных к Интернету системах рекомендуется держать открытыми лишь минимально необходимое количество портов. В данном случае на всех портах LLMNR следует включить блокировку входящего интернет-трафика.

Это обновление для системы безопасности имеет уровень серьезности "критический" для всех поддерживаемых выпусков Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 и уровень серьезности "существенный" для всех поддерживаемых выпусков Windows XP и Windows Server 2003. Дополнительные сведения см. в подразделе Подвержены и не подвержены уязвимости этого раздела.

Это обновление для системы безопасности устраняет уязвимость, исправляя способ обработки клиентом DNS специально созданных DNS-запросов. Дополнительные сведения об этой уязвимости см. в подразделе "Часто задаваемые вопросы" для соответствующей уязвимости в следующем ниже разделе Сведения об уязвимости.

Рекомендация. У большинства клиентов включено автоматическое обновление, поэтому нет необходимости предпринимать какие-либо действия: данное обновление для системы безопасности загрузится и установится автоматически. Клиентам, у которых не включено автоматическое обновление, необходимо проверить наличие обновлений и установить это обновление вручную. Дополнительные сведения об особых параметрах конфигурации автоматического обновления см. в статье 294871 базы знаний Майкрософт.

Предприятиям, а также администраторам и конечным пользователям, желающим применить данное обновление для системы безопасности вручную, корпорация Майкрософт рекомендует сделать это немедленно, используя соответствующее ПО для управления обновлениями либо проверив наличие обновлений в Центре обновления Майкрософт.

См. также раздел Руководство и средства по диагностике и развертыванию этого бюллетеня.

Известные проблемы.В статье 2509553 базы знаний Майкрософт описаны известные на данный момент проблемы, с которыми пользователи могут столкнуться при установке этого обновления для системы безопасности. В этой статье также приводятся решения, рекомендованные для устранения этих проблем.

Подвержены и не подвержены уязвимости

Следующие продукты были проверены на наличие уязвимости в тех или иных версиях и выпусках. Прочие версии или выпуски не подвержены уязвимости, либо жизненные циклы их поддержки истекли. Сведения о жизненных циклах поддержки версий или выпусков используемых программных продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.

Подвержены уязвимости

Примечание. Для поддерживаемых версий Windows XP Professional x64 Edition используется то же обновление для системы безопасности, что и для поддерживаемых версий Windows Server 2003 x64 Edition.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. в статье 832475 базы знаний Майкрософт.

Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры установки.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры установки.

Анализатор безопасности Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе Руководство и средства по диагностике и развертыванию данного бюллетеня.

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

Проверка разделов реестра

Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Windows Server 2003 (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры установки.

Анализатор безопасности Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе Руководство и средства по диагностике и развертыванию данного бюллетеня.

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

Проверка разделов реестра

Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Windows Vista (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Эксперты из компании Check Point сообщили о критической уязвимости DNS-серверов в Windows Server, получившей номер CVE-2020-1350 и критический рейтинг по шкале CVSS в 10 баллов.

Обнаруженная уязвимость настолько серьезна, что удостоилась получения специального имени - Sigred.

КТО ПОДВЕРЖЕН УЯЗВИМОСТИ?

Сервера Windows Server версий Windows Server 2008, Windows Server 2012,Windows Server 2016,Windows Server 2019, а также Windows Server version 1903,Windows Server version 1909;и Windows Server version 2004, включая доп. релизы (R2), в случае использования DNS-сервера в указанных операционных системах.

Особую опасность уязвимости придает тот факт, что как правило роль DNS-сервера часто совмещают с ролью контроллера домена Active Directory. Взломав такой сервер злоумышленник получает доступ к системе централизованной аутентификации пользователей.

Особенно опасно, если Windows Server с включенным DNS-сервером используется в качестве интернет-шлюза и может обрабатывать DNS-запросы из сети Интернет.

Ваша сеть также подвержена уязвимости, если Windows-сервер используется в качестве DNS-сервера у рабочих станций. Таким образом, переход пользователя на определенный сайт или вставка кода с доменом злоумышленников на зараженном сайте или в рекламной сети, сможет вызвать эксплуатирующий уязвимость DNS-запрос к вашему Windows-серверу.

ЧЕМ ГРОЗИТ УЯЗВИМОСТЬ?

Уязвимость относится к классу;"Удаленное выполнение кода (RCE)" и позволяет злоумышленникам с помощью специальным образом сформированного DNS-запроса, выполнить на сервере произвольный код.

Таким образом хакеры смогут:

ПОДРОБНЕЕ ОБ УЯЗВИМОСТИ

Уязвимость использует функцию переадресации DNS-запросов в случаях, когда DNS-сервер не может сам разрешить IP-адрес для запрашиваемого домена. При этом DNS-сервер перенаправляет запрос на NS-сервер (что соответствует архитектуре работы DNS-серверов).

Злоумышленники настраивают ответ от NS-сервера таким образом, чтобы он содержал более 64 кб данных (стандартным образом это невозможно из-за ограничения размера DNS-запросов, но злоумышленники используют механизмы сжатия DNS-имен). Обработка такого большого ответа может вызвать переполнение буфера в DNS-серверах Windows и произвольное выполнение кода.

Особенно опасен вариант применения уязвимости с помощью интернет-браузера. Заманив пользователя на определенный сайт, либо вставив вредоносный код на контролируемый злоумышленниками сайт (как правило порнографического или игрового характера), DNS-запрос к домену будет резолвится через Windows-сервер. Таким образом даже если ваш DNS-сервер не имеет выхода в Интернет и расположен внутри сетевого периметра, он все равно может попасть под атаку.

ИСПРАВЛЕНИЯ

Установите выпущенные Microsoft обновления для уязвимых операционных систем. Они доступны по ссылке.

Там же указан временный рецепт устранения уязвимости с помощью ограничения размера принимаемых DNS-пакетов.

С помощью редактора реестра добавьте параметр:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00

И перезапустите DNS-сервер.

Но данный способ может вызвать некорректную обработку некоторых корректных DNS-запросов, поэтому используйте его только в случае невозможности установки обновления на сервер. И удалите этот ключ после установки обновлений.

РЕКОМЕНДАЦИИ ПО БЕЗОПАСНОСТИ ОТ АЙДЕКО

В систему предотвращения вторжений Ideco UTM мы добавили сигнатуру, блокирующую используемые в уязвимости DNS-запросы. Включите систему предотвращения в Ideco UTM, если ранее вы ее не использовали.

В журнале системы попытки эксплуатации уязвимости будут записаны в виде "ATTACK Windows Server DNS RCE aka SIGRed (CVE-2020-1350) - Query response".

Такой защиты достаточно, если Ideco UTM контролирует весь сетевой периметр и Windows-сервера не используют альтернативные интернет-шлюзы.

Дополнительные меры, которые повысят безопасность вашей сети к уязвимостям подобного рода:

  1. Включите перехват DNS-запросов в настройках DNS-сервераIdeco UTM.
  2. Windows-сервер даже при обращении к другим NS-серверам для резолвинга доменов, получит ответ от DNS-сервера Ideco UTM, "неправильные" запросы при этом будут отфильтрованы на нашем DNS-сервере.
  3. В Ideco UTM в качестве DNS-сервера используйте фильтрующие сервера отЯндексаилиСкайДНС:

77.88.8.88 (безопасный сервер Яндекса)

77.88.8.2 (безопасный сервер Яндекса)

193.58.251.251 (фильтрующий сервер SkyDNS)

  1. Атакующие злоумышленники используют созданные ими домены для эксплуатации уязвимости. Облачные фильтрующие DNS-сервера обновляют базы таких доменов в реальном времени, поэтому они выдадут "заглушку" в качестве DNS-ответа, а не использующий эксплойт некорректный DNS-ответ с попыткой атаки.
  2. В качестве DNS-сервера у клиентов локальной сети используйте не контроллер домена, а DNS-серверIdeco UTM.
  3. Наш сервер не подвержен данной и подобным уязвимостям, не отвечает на DNS-запросы из интернета, а также защищен системой предотвращения вторжений. Кроме того, мы используем Linux в качестве базовой операционной системы для модулей - распространение сетевых червей практически невозможно из-за гетерогенного характера сети.
  4. Для разрешения имен локального домена (прямой и обратной зоны) используются forward-зоны в DNS-сервере (создаются автоматически при вводе Ideco UTM в домен). Таким образом структура Active Directory будет работать полностью корректно.
  5. Заблокируйте сайты порнографического характера, онлайн-казино, зараженные и фишинговые сайты с помощью контент-фильтра вIdeco UTM.
  6. Это поможет сократить вектор возможных атак злоумышленников, т.к. они часто используют сайты подобного характера для эксплуатации новых эксплойтов.

Если вы еще не используете Ideco UTM, напомним, что развертывание сервера занимает всего 15-20 минут, а в течение 40 дней Ideco UTM работает с полным набором функций абсолютно бесплатно.

Уязвимость в DNS – безусловно, одно из самых ярких событий года в сфере информационной безопасности. В этой статье мы попробуем разобраться, насколько эта уязвимость опасна и как злоумышленники смогут ею воспользоваться.

Краткое предисловие

В чем заключается уязвимость?

Уязвимость существует из-за того, что DNS сервер использует предсказуемый номер порта для отправки DNS запросов. Злоумышленник может угадать номер порта, который используется для отправки данных, и с помощью специально сформированного ложного DNS-ответа подменить данные в кеше DNS сервера.

Для подтверждения наличия уязвимости можно воспользоваться эксплоитами и утилитой:

Насколько опасна уязвимость?

Спуфинг атака – атака, направленная в первую очередь на клиента, а не на сервер. Уязвимость, которую мы сейчас обсуждаем, неспособна дать повышенные привилегии на уязвимой системе или выполнить произвольный код, но в сочетании с другими незначительными ошибками программного обеспечения или социальной инженерией, может стать очень опасным инструментом в руках злоумышленника.

В тестах, которые проводил Камински, ему удалось отравить кеш сервера имен приблизительно за 5-10 секунд. Эта уязвимость позволяет атакующему перезаписать данные, которые уже находятся в кеше сервера. Сервера имен, которые являются только авторитетными, не подвержены этой уязвимости. Установка высокого значения TTL для ваших хостов на авторитетном сервере не помешает злоумышленнику отравить кеш уязвимых резолверов, так как атака обходит защиту TTL.

Уязвимость затрагивает также и клиентские библиотеки (рабочие станции и сервера, которые обращаются к вышестоящим серверам имен) и может быть проведена против одиночного хоста. Также, некоторые МСЭ с функционалом трансляции адресов, рассчитанные на домашний сектор, используют предсказуемые номера для порта источника запросов, что позволяет злоумышленнику удачно произвести атаку, даже если было установлено исправление на сервер имен или клиент.

  1. Отравление кеша DNS сервера можно произвести довольно быстро (5-10 секунд)
  2. Злоумышленник может изменить данные, которые уже находятся в кеше сервера
  3. Уязвимость может использоваться как против сервера имен, так и против рабочей станции.
  4. Сервера и рабочие станции, которые находятся за бюджетными МСЭ с включенным NAT, подвержены уязвимости не зависимо от установленных исправлений.
  5. Эксплоит находится в публичном доступе.
  6. Целью атаки может стать любой промежуточный DNS сервер на пути к авторитетному серверу или DNS клиент. Это означает, что если вышестоящий DNS сервер уязвим, то не зависимо от наличия исправлений на ваших серверах, вы можете стать жертвой атаки.

Векторы атаки

Как я уже писал выше, спуфинг атака – атака, направлена на клиента, а не на сервер. Злоумышленник может:

  • произвести фишинг атаку и получить доступ к важным данным
  • произвести атаку типа «Человек посередине» и получить доступ к потенциально важным данным (паролям, номерам кредитных карт и другим данным, которые вы передаете).
  • используя уязвимость в ПО, получить доступ к важным данным и даже скомпрометировать целевую систему (например, из-за недостаточной проверки подлинности сервера при установке обновлений приложения, при перенаправлении пользователя на специально сформированный сайт и т.д.).

Исправления

Выводы

Уязвимость достаточно опасна и может эксплуатироваться как против сервера, так и против клиента. Исправления хотя и существуют, но установлены далеко не везде. Армагеддон, конечно же не наступает, но у злоумышленников появилась дополнительное преимущество, которым они не постесняются воспользоваться в последующих атаках на ваши сети.

Читайте также: