Бесплатно Экспресс-аудит сайта:

22.05.2020

Microsoft выпустила уведомление безопасности для уязвимости NXNSAttack

Компания Microsoft выпустила уведомление безопасности для уязвимости NXNSAttack в DNS-серверах, с помощью которой злоумышленники могут тысячекратно усилить один DNS-запрос и осуществить DDoS-атаку на авторитетный DNS-сервер.

Как сообщается в уведомлении ADV200009 | Windows DNS Server Denial of Service Vulnerability, успешная эксплуатация уязвимости может привести к тому, что DNS-сервер перестанет отвечать.

«Для эксплуатации уязвимости атакующему понадобится доступ как минимум к одному клиенту и домену, способному ответить большим количеством записей referral, указывающих на внешние поддомены жертвы. Во время разрешения доменного имени, полученного от атакующего клиента, для каждой обнаруженной записи referral резолвер обращается к домену жертвы. Таким образом может возникнуть большое количество коммуникаций между рекурсивным резолвером и авторитетным DNS-сервером жертвы, что приведет к Distributed Denial of Service (DDoS)», – говорится в уведомлении.

Для защиты от атаки Microsoft рекомендует администраторам с помощью Set-DnsServerResponseRateLimiting PowerShell cmdlet включить Response Rate Limiting – настройку конфигурации, используемую DNS-серверами для предотвращения их использования в DDoS-атаках с усилением. Данная настройка ограничивает количество ответов и сообщений об ошибках, отправляемых DNS-сервером клиенту за одну секунду.

Для проверки статуса настройки Response Rate Limiting администраторы могут запустить PowerShell-команду Get-DnsServerResponseRateLimiting. Изменить количество ответов в секунду можно с помощью PowerShell-команды Set-DnsServerResponseRateLimiting. Каким должно быть оптимальное число ответов в секунду, Microsoft не уточняет.

Referral – ответ на запрос, не содержащий раздел answer (он остается пустым), но содержащий один и более DNS-серверов (в разделе Domain Authority), близких к запросу.