Mitigación de fallos de Microsoft para el ataque NXNSAttack DNS DDoS

Comparte este post en tus redes sociales

Microsoft ha publicado un aviso de seguridad para mitigar en cierta proporcionalidad la vulnerabilidad NXNSAttack en servidores DNS que podría usarse para amplificar una sola solicitud DNS en un ataque DDoS contra servidores DNS autoritario.

Vulnerabilidad en servidores DNS de Windows

En un nuevo artículo, investigadores de la “Tel Aviv University and The Interdisciplinary Center” han revelado una nueva vulnerabilidad llamada NXNSAttack que se puede “usar para montar un ataque devastador contra uno o ambos, resolutivos recursivos y servidores autorizados”.

En resumen, el NXNSAttack funciona cuando un atacante envía una solicitud de DNS a un servidor recursivo para un dominio bajo el control del atacante. Como este servidor recursivo no tiene la autoridad para resolver la solicitud, envía una consulta al servidor DNS autorizado para el dominio del atacante.

El servidor autoritario también está bajo el control del atacante y respondería con una lista de servidores que el resolutor original debería consultar. Sin embargo, esta lista de servidores sería el objetivo del ataque DNS DDoS, que ahora se consultará.

Si se hacen muchas solicitudes de esta manera, podría permitir al atacante amplificar rápidamente el ataque a DDoS en un servidor DNS autorizado y hacer que no responda.

Este ataque se ilustra en la imagen a continuación creada por Nic.cz en su publicación de blog sobre el ataque NXNSAttack.

Según los investigadores, este ataque tiene un factor de amplificación “de más de 1620 veces en la cantidad de paquetes intercambiados por el solucionador recursivo”, que puede ser devastador para sus objetivos.

Para resolver esta vulnerabilidad, los desarrolladores del servidor DNS han comenzado a emitir avisos y parches para su software. A continuación se muestra una lista de los avisos conocidos actualmente.

Servidor DNSAvisos Publicados
ISC BIND Security Advisory · CVE-2020-8616
NLnet Labs UnboundCVE-2020-12662
NIC.CZ Knot ResolverBlog Post  ·  CVE-2020-12667
PowerDNSSecurity Advisory
MicrosoftADV200009 | Windows DNS Server Denial of Service Vulnerability

Puedes encontrar más información sobre NXNSAttack en el sitio NXNSAttack.com creado por los investigadores, y la publicación de blog de Nic.cz es una lectura recomendada.

Mitigar el ataque NXNSAttack en servidores DNS de Windows

Microsoft lanzó el ‘ADV200009 | El aviso de seguridad de la vulnerabilidad de denegación de servicio’ del servidor DNS de Windows ayer con mitigación para el ataque DNS NXNSAttack.

“Un atacante que aprovechó con éxito esta vulnerabilidad podría provocar que el servicio del servidor DNS deje de responder”.

“Para explotar esta vulnerabilidad, un atacante necesitaría tener acceso a al menos un cliente y un dominio que responda con un gran volumen de registros de referencia, y que apunten a subdominios de víctimas externas. Mientras resuelve un nombre del cliente atacante, para cada registro de referencia encontrado, el solucionador contacta al dominio de la víctima. Esta acción puede generar una gran cantidad de comunicaciones entre el solucionador recursivo y el servidor DNS autorizado de la víctima para causar un ataque de Denegación de Servicio Distribuido (DDoS) “, explica el aviso de seguridad ADV200009 de Microsoft.

Para mitigar este ataque, Microsoft recomienda que los administradores utilicen el cmdlet Set-DnsServerResponseRateLimiting de PowerShell para habilitar la limitación de la tasa de respuesta.

La limitación de la tasa de respuesta es una opción de configuración utilizada por los servidores DNS para evitar que se usen en ataques DDoS que utilizan amplificación DNS.

Cuando está habilitada, la configuración limitará el número de respuestas o errores que un servidor DNS enviará a un solo cliente DNS en un segundo.

Set-DnsServerResponseRateLimiting -ResponsesPerSec 2
das
da
sd
asd
asd

Para verificar la configuración actual de Limitación de la tasa de respuesta, puede ejecutar el comando Get-DnsServerResponseRateLimiting de PowerShell.

Como puede ver en la configuración predeterminada anterior, el servidor DNS de Windows solo responderá a un cliente cinco veces en un segundo.

Si desea aumentar o disminuir esta cantidad, puede hacerlo con el comando Set-DnsServerResponseRateLimiting de PowerShell.

Por ejemplo, para reducir el número de respuestas a dos por segundo, emitiría el siguiente comando:

Set-DnsServerResponseRateLimiting -ResponsesPerSec 2

Se puede usar un comando similar para reducir la cantidad de errores a dos por segundo:

Set-DnsServerResponseRateLimiting -ErrorsPerSec 2

Cabe señalar que la utilización de la función Limitación de la tasa de respuesta evitará que un servidor DNS de Windows se use en un ataque de amplificación de DNS contra otro cliente. Sin embargo, no protegerá el servidor en sí mismo de ser afectado.

Desafortunadamente, Microsoft no ha especificado cuáles son los valores recomendados para mitigar este ataque.


Comparte este post en tus redes sociales