Nov NXNSAttack napad na DNS in kako se zascititi2
27.5.2020

Nova ranljivost v imeniških strežnikih (DNS)

Storitev DNS (angl. Domain Name Service) je ena pomembnejših v zasnovi interneta kot ga poznamo. Vse naprave, povezane v internet, so namreč dosegljive preko IP-številke, DNS pa omogoča, da lahko do njih dostopamo preko enostavnih imen. Primer - naša spletna stran ima IP-naslov 172.31.34.45 (IP je izmišljen), DNS pa omogoča, da je dosegljiva tudi na ljudem bolj razumljivem naslovu www.nil.com.

DNS je zaradi zgodovine in dediščine protokola pogosto tarča oziroma izvor napada onemogočanja DoS (angl. Denial of Services) ali bolj učinkovitega ojačanega napada onemogočanja DDoS (angl. Distributed Denial of Services. Posledica DDoS-napada je nedosegljivost oziroma nedelovanje storitev in strežnikov napadenih organizacij, uporabniki pa zato ne morejo uporabljati interneta in internetnih storitev. Skrb in varovanje DNS-strežnikov ter storitev je torej nujna, če želite zagotoviti zanesljivo delovanje in stalno dosegljivost lastnih virov. Prav tako pa obstaja nevarnost, da sami postanemo del napada na drugo tarčo (angl. DNS reflection), ki je v primeru razkritega napada še večja. Večina obstoječih napadov z ojačitvijo je namreč uporabljala UDP protokol, ki ga je enostavno blokirati. Omenjeni napad deluje tudi v okviru TCP protokola.

V zadnjih dneh je v varnostnih krogih odmevala ranljivost, ki je prisotna praktično v vseh izvedbah imeniške DNS storitve. Skupina strokovnjakov s Tel Aviv University in The Interdisciplinary Center je izdala članek o ranljivosti DNS-strežnikov, ki omogoča izvedbo DDoS napada NXNSAttack.

NXNSAttack omogoča do 1620-kratno ojačitev

NXNSAttack napad izkorišča mehanizem rekurzivnih DNS-razreševalcev, ko prejmejo NS referral odgovor, ki vsebujejo imenske strežnike (angl. name servers) brez pripadajočih IP-naslovov (angl. missing glue-records). Ugotovili so, da je izmenjava DNS-sporočil v praksi precej večja, kot je bilo pričakovano v teoriji, predvsem na račun proaktivnega razreševanja IP-naslovov imenskih strežnikov. Neučinkovitost pri obdelavi zahtevkov postane ozko grlo in hkrati možnost za uničujoč napad na rekurzivne in/ali avtoritativne DNS strežnike.

NXNSAttack lahko po trditvah avtorjev doseže tudi do 1620-kratno ojačitev in je bolj učinkovit od napada NXDomain. Ojačitev v primeru DDoS-napada pomeni, da napadalci s t.i. »volumetičnim« DDoS-napadom želijo zapolniti povezave do interneta in tarči tako onemogočiti dostop. Da bi bil napad uspešen, morajo napadalci preko svojih povezav ustvariti nekajkratni promet tarče, kar pa ni enostavno. Zato se poslužujejo ojačitev. Preko ojačitve napadalec zlorabi pasovno širino ranljivih strežnikov, pri čem sam zagotovi samo delček pasovne širine, ostalo pa preko ojačitve zagotovijo tretje osebe oz. ranljivi strežniki.

Raziskovalci so ugotovili, da lahko napad NXNSAttack prizadene praktično vse verzije DNS strežnikov, ki so trenutno prisotne na trgu. V primeru Microsoft strežnikov so ranljive vse različice operacijskega sistema Windows Server, varnostni popravek pa v tem trenutku ni na voljo.

Kako onemogočiti napad NXNSAttack na vašem DNS-strežniku?

Le dva dni po objavi članka je Microsoft pripravil varnostno opozorilo ADV200009 z navodili za omejitev omenjene DNS-ranljivosti z uporabo funkcionalnosti RRL (angl. Response Rate Limiting). Funkcionalnost med drugim omejuje število odgovorov in napak, ki jih bo DNS strežnik poslal posameznemu klientu v sekundi.

Postopek izvedete na sledeč način:

1) Z ukazom Get-DnsServerResponseRateLimiting preverite trenutne nastavitve RRL:

NXNSAttack 1

Na sliki so prikazane privzete nastavitve, kot je vidno se bo strežnik klientu odzval petkrat na sekundo, RRL funkcionalnost je izklopljena (Mode : Disabled)

 

2) RRL funkcionalnost vključite z ukazom Set-DnsServerResponseRateLimiting -mode Enable:

NXNSAttack 2

 

3) Nato lahko z ukazom Set-DnsServerResponseRateLimiting -ResponsesPerSec 2 -ErrorsPerSec 2 spremenite število odzivov in napak na 2:

NXNSAttack 3

 

Microsoft ni podal priporočil glede vrednosti parametrov, kljub temu pa je priporočen vklop funkcionalnosti RRL.

Vsem strankam priporočamo, da preverite, ali sami gostujete imeniško storitev DNS, kar je zaradi zgodovinskih razlogov praksa v številnih okoljih, ter implementirate ustrezne varnostne popravke. V kolikor nimate toliko domen, vam priporočamo čimprejšnjo odpravo napak ali prenos na DNS-strežnike ponudnikov dostopa do interneta.   

Če imate težave z uvedbo priporočil ali bi želeli podrobneje preveriti varnostno tveganje, ki ga predstavljajo takšne ali podobne ranljivosti za vaše IT-okolje, se lahko posvetujete z našimi varnostnimi strokovnjaki iz NIL-ovega varnostno operativnega centra (SOC).

 

Avtor: Primož Ivančič, varnostni analitik v SOC-u, specializiran za Microsoft tehnologije