11 kwietnia na stronach Microsoftu pokazała się pierwsza informacja o możliwości wykorzystania przepełnienia stosu usługi DNS na serwerach Windows Server 2000 SP4/2003 SP1 i Sp2. Od tego czasu średnio codziennie na stronach blogu MSRC ukazuje się kolejny update w tej sprawie.
Zanim jednak wszyscy powieszą psy na MS za kolejną dziurę w Windowsach chciałbym wskazać na kilka rzeczy, które wydały mi się ważne w analizie zagrożenia atakiem na usługę DNS.
Jak napisałem wyżej, zagrożenie dotyczy systemów: Windows 2000 Server SP4, Windows Server 2003 Sp1 i Windows Server 2003 SP2, nie dotyczy natomiast stacji klienckich, na których usługa serwera DNS nie działa (Windows 2000 Professional SP4, Windows XP SP2, Windows Vista). Powodujący przepełnienie buforu usługi DNS exploit [1][2][3] pozwala na wykonanie kodu w kontekście serwisu DNS, który standardowo działa jako Local System. Transmisja odbywa się po protokole RPC. Usługa DNS działająca na porcie 53 (TCP/UDP) nie jest podatna na atak.
Każdy podręcznik administratora mówi, a także każdy administrator wie, że dla serwerów DNS otwieranie jakiegokolwiek innego portu niż 53 nie jest dobre i nie jest wskazane. Tym bardziej portów dla usługi RPC. Do dobrych praktyk należy też utrzymywanie serwerów DNS w strefie DMOZ, tak by nie tylko był odgrodzony od świata zewnętrznego ale i także od środowiska wewnętrznego.
Dodatkowo w związku z potencjalnym wykorzystaniem expoloita Microsoft zaleca wyłączenie działania usługi DNS na protokole RPC. Można to zrobić poprzez edycję rejestru.
W tym wypadku, wyłączenie RPC nie spowoduje zablokowania korzystania z DNS MMC snap-in, dnscmd.exe i poprzez WMI. Drugim zalecanym rozwiązaniem jest wykorzystanie IPSEC dla portu 445 i dla tych powyżej 1024. To rozwiązanie jednak zablokuje korzystanie z zarządzania DNS poprzez MMC snap-in, dnscmd.exe i WMI.
Lektura:
0 Responses to “RPC DNS expolit”