Атаки используют Microsoft DHCP для подмены записей DNS • –

По мнению исследователей безопасности Akamai, серия атак на домены Microsoft Active Directory может позволить злоумышленникам подделать записи DNS, скомпрометировать Active Directory и украсть все хранящиеся в ней секреты.

Нам сообщили, что атаки, которые можно использовать против серверов, на которых работает конфигурация по умолчанию серверов протокола DHCP (DHCP), не требуют никаких учетных данных.

Akamai сообщает, что сообщила о проблемах в Редмонд, который не планирует их решать. Microsoft не ответила на Регистрзапросы.

Хорошей новостью, по мнению Akamai, является то, что они еще не видели сервер, подвергшийся атаке такого типа. Плохая новость: эксперты компании также сообщили нам, что огромное количество организаций, вероятно, уязвимы, учитывая, что 40 процентов из «тысяч» сетей, которые отслеживает Akamai, используют Microsoft DHCP в уязвимой конфигурации.

Помимо подробного описания проблемы безопасности, компания облачных услуг также предоставила инструмент который системные администраторы могут использовать для обнаружения конфигураций, находящихся под угрозой.

Хотя в текущем отчете не приводятся технические подробности или доказательства концепции эксплойтов, Akamai пообещала в ближайшем будущем опубликовать код, реализующий эти атаки, под названием DDSpoof — сокращение от DHCP DNS Spoof.

«Мы покажем, как злоумышленники, не прошедшие проверку подлинности, могут собирать необходимые данные с серверов DHCP, выявлять уязвимые записи DNS, перезаписывать их и использовать эту возможность для компрометации доменов AD», — исследователь безопасности Akamai Ори Дэвид. сказал.

Исследование DHCP-атак основано на ранее проведенных исследованиях. работа Кевин Робертон из NETSPI подробно описал способы использования недостатков в зонах DNS.

DHCP — это широко используемый протокол управления сетью, а DHCP-сервер Microsoft широко используется в корпоративных сетях. Организации могут создавать записи DNS с помощью функции DHCP, называемой динамическими обновлениями DHCP DNS.

«Всякий раз, когда DHCP-сервер предоставляет клиенту IP-адрес, последний может связаться с DNS-сервером и обновить DNS-запись клиента», — объяснил Ори Дэвид из Akamai.

Когда DHCP-сервер регистрирует или изменяет запись DNS от имени своих клиентов, он использует динамические обновления DNS — и в этом и заключается проблема. Динамические обновления DHCP DNS не требуют аутентификации со стороны DHCP-клиента, а DHCP-серверы Microsoft по умолчанию включают динамические обновления DHCP DNS.

«Таким образом, злоумышленник может использовать DHCP-сервер для аутентификации на DNS-сервере от своего имени», — сказал Дэвид. «Это предоставляет злоумышленнику доступ к зоне ADIDNS без каких-либо учетных данных».

В то время как более ранние атаки Робертона по подмене ADIDNS (Active Directory Integrated DNS) требовали действительных учетных данных домена, использование DHCP-сервера этого не требует, что делает атаки намного более доступными для более широкого круга злоумышленников.

Этот тип атаки с подменой DHCP DNS также был покрытый Ханс Лахан из TrustedSec.

Помимо создания несуществующих записей DNS, не прошедшие проверку подлинности злоумышленники также могут использовать DHCP-сервер для перезаписи существующих данных, включая записи DNS внутри зоны ADI, в тех случаях, когда DHCP-сервер установлен на контроллере домена, что, по словам Дэвида, имеет место в случае 57 процентов сетей контролирует Akamai.

«Все эти домены уязвимы по умолчанию», — написал он. «Хотя этот риск был признан Microsoft в их документации мы считаем, что осознание этой неправильной конфигурации не соответствует ее потенциальному воздействию».

Помимо злоупотребления DHCP Microsoft для создания или перезаписи DNS-записей, команда обнаружила еще одну особенность: Группа DNSUpdateProxyчто также представляет угрозу безопасности и потенциально содержит ошибку.

DNSUpdateProxy позволяет клиентам обновлять записи DNS и особенно полезен в случае обновления устаревшего клиента до более новой сборки Windows. Это также решает проблему совместной работы нескольких DHCP-серверов.

Проблема с этой группой заключается в том, что «любая запись, созданная членами этой группы, может быть «украдена» любым авторизованным пользователем», — отмечают дефектологи. «Это не уязвимость, это просто злоупотребление дизайном функции. Microsoft признает этот риск».

Однако Akamai также обнаружила ошибку в функции DNSUpdateProxy. «Когда член группы создает свою собственную DNS-запись, она создается с тем же уязвимым списком управления доступом, для которого прошедшие проверку подлинности пользователи имеют разрешения на запись», — сказал Дэвид.

Опять же, мы все еще ждем новостей от Microsoft обо всех этих проблемах и обновим эту историю, если и когда мы это сделаем. Но тем временем мы предлагаем последовать совету Akamai и отключить динамические обновления DHCP DNS, если вы еще этого не сделали, и вообще избегать DNSUpdateProxy.

«Вместо этого используйте одни и те же учетные данные DNS на всех ваших DHCP-серверах», — советует. ®