Vulnerabilidade do Servidor DNS para ataques de xereçamento de cache de servidor DNS

Este artigo fornece uma solução para um problema em que a vulnerabilidade do Servidor DNS para ataques de xereçamento de Cache do Servidor DNS.

Aplica-se a:   Windows Server 2012 R2
Número KB original:   2678371

Sintomas

O que é "xereçamento de cache DNS" e como faço para impedi-lo? descreve o xereta de cache DNS como:

O snooping de cache DNS é quando alguém consulta um servidor DNS para descobrir (snoop) se o servidor DNS tem um registro DNS específico armazenado em cache e, assim, deduzir se o proprietário (ou seus usuários) do servidor DNS visitou recentemente um site específico.
Isso pode revelar informações sobre o proprietário do servidor DNS, como qual fornecedor, banco, provedor de serviços etc. eles usam. Especialmente se isso for confirmado (bisbilhosado) várias vezes ao longo de um período.
Esse método pode até ser usado para coletar informações estatísticas - por exemplo, a que horas o proprietário do servidor DNS normalmente acessa seu banco líquido etc. O valor TTL restante do registro DNS em cache pode fornecer dados muito precisos para isso.

O snooping de cache DNS é possível mesmo se o servidor DNS não estiver configurado para resolver recursivamente para terceiros, desde que ele fornece registros do cache também para terceiros (também conhecido como . "solicitações ruins").

As auditorias de segurança podem relatar que várias implementações do Servidor DNS estão vulneráveis a ataques de xereçamento em cache que permitem que um invasor remoto identifique quais domínios e hosts foram [recentemente] resolvidos por um determinado servidor de nomes.

Depois que esse relatório de vulnerabilidade de xereçamento de cache é lido:

DNS Server Cache Snooping Remote Information Disclosure
Sinopse:
O servidor DNS remoto é vulnerável a ataques de xereta em cache.
Descrição:
O servidor DNS remoto responde a consultas para domínios de terceiros que não têm o bit de recursão definido. Isso pode permitir que um invasor remoto determine quais domínios foram resolvidos recentemente por meio desse servidor de nomes e, portanto, quais hosts foram visitados recentemente. Por exemplo, se um invasor estivesse interessado em se sua empresa utiliza os serviços online de uma determinada instituição financeira, ele seria capaz de usar esse ataque para criar um modelo estatístico em relação ao uso da empresa dessa instituição financeira. Obviamente, o ataque também pode ser usado para encontrar parceiros B2B, padrões de navegação na Web, servidores de email externos e muito mais. Observação: se esse for um servidor DNS interno não acessível a redes externas, os ataques serão limitados à rede interna. Isso pode incluir funcionários, consultores e potencialmente usuários em uma rede de convidados ou conexão WiFi, se tiver suporte.
Fator de risco:
Médio
Pontuação base cvss:5.0
CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
Confira também:
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
Solução:
Contate o fornecedor do software DNS para uma correção.

Motivo

Esse erro normalmente é relatado em DNS Severs que fazem recursão.

Resolução

Não há correção de código, pois é uma opção de configuração.

Há três opções:

  1. Deixar a recursão habilitada se o Servidor DNS permanecer em uma rede corporativa que não possa ser alcançada por clientes não-confianças

  2. Não permita o acesso público aos Servidores DNS que fazem recursão

  3. Desabilitar recursão

Mais Informações

Por padrão, os Servidores DNS da Microsoft são configurados para permitir a recursão.

A recorrência de nome pode ser desabilitada globalmente em um Servidor DNS da Microsoft, mas não pode ser desabilitada por cliente ou por interface.

A maioria dos Servidores DNS da Microsoft é coinstalada com a função de servidor controlador de domínio. Esses servidores normalmente hospedam zonas e resolvem nomes DNS para dispositivos | appliances, member clients, member servers, and domain controllers in an Active Directory forest but also may resolve names for larger parts of a corporate network. Como os Servidores DNS da Microsoft geralmente são implantados atrás de firewalls em redes corporativas, eles não são acessíveis a clientes não-não-confianças. Os administradores de servidores nesta configuração devem considerar se é necessário desabilitar ou limitar a recursão DNS.

Desabilitar a recursão globalmente não é uma alteração de configuração que deve ser tomada de forma leve, pois significa que o servidor DNS não pode resolver nenhum nome DNS em zonas que não são mantidas localmente. Isso requer um planejamento DNS cuidadoso. Por exemplo, os clientes normalmente não podem ser apontados diretamente para esses servidores.

A decisão de desabilitar a recursão (ou não) deve ser tomada com base na função que o servidor DNS deve fazer dentro da implantação. Se o servidor for destinado a recursar nomes para seus clientes, a recursão não poderá ser desabilitada. Se o servidor for destinado a retornar dados apenas fora de zonas locais e nunca for destinado a recurse ou encaminhamento para clientes, a recursão poderá ser desabilitada.