image

Microsoft waarschuwt voor aanval op Windows DNS Server lek

vrijdag 13 april 2007, 10:14 door Redactie, 8 reacties

Microsoft heeft gebruikers van Windows 2000 en Windows Server 2003 gewaarschuwd voor aanvallen op een onbekend lek in de Domain Name System (DNS) Server Service. Via de aanval, die volgens de softwaregigant nog vrij beperkt in omvang is, kan een aanvaller willekeurige code in de context van de Domain Name System Server Service uitvoeren, die meestal met Local SYSTEM rechten draait.

De kwetsbaarheid is alleen aanwezig in Microsoft Windows 2000 Server Service Pack 4 en Microsoft Windows Server 2003 SP1 en SP2. Als oplossing wordt aangeraden om remote management over RPC voor de DNS server via een register aanpassing uit te schakelen, ongevraagd inkomend verkeer op poorten 1024-5000 via de firewall te blokkeren of geavanceerde TCP/IP filtering opties voor de interface te gebruiken.

Reacties (8)
13-04-2007, 10:59 door Anoniem

... in de context van de Domain Name System Server Service
uitvoeren, die meestal met Local SYSTEM rechten draait.

Waarom, waarom, waarom draait zoiets als een DNS dat alleen
read rechten nodig heeft met zulke rechten? Prutsers zijn het.
13-04-2007, 11:32 door Anoniem
Alleen read rechten nodig? Hoe worden dan de dynamische updates
(denk active directory) van clients in de dns database gezet?
13-04-2007, 11:38 door Anoniem
Door Anoniem

... in de context van de Domain Name System Server Service
uitvoeren, die meestal met Local SYSTEM rechten draait.

Waarom, waarom, waarom draait zoiets als een DNS dat alleen
read rechten nodig heeft met zulke rechten? Prutsers zijn het.

Zoals BIND ook onder root draait? Als je SYSTEM niet goed vind, maak
je een speciaal account.
13-04-2007, 11:39 door Anoniem
Door Anoniem

... in de context van de Domain Name System Server Service
uitvoeren, die meestal met Local SYSTEM rechten draait.

Waarom, waarom, waarom draait zoiets als een DNS dat alleen
read rechten nodig heeft met zulke rechten? Prutsers zijn
het.
In hun verdediging:
Microsoft doet pas 7 jaar DNS... ze hebben niet het
marktaandeel en niet de security scrutiny die een pakket als
bind, inmiddels een jaar of 25 oud, wel hebben. En laten we
wel zijn, vroeger draaiden we bind ook als root.
13-04-2007, 11:44 door wimbo
Door Anoniem

... in de context van de Domain Name System Server Service
uitvoeren, die meestal met Local SYSTEM rechten draait.

Waarom, waarom, waarom draait zoiets als een DNS dat alleen
read rechten nodig heeft met zulke rechten? Prutsers zijn
het.

Dynamic DNS, Zone transfers etc. Allemaal zaken die meer
rechten nodig hebben dan read-only.
13-04-2007, 12:12 door Anoniem
Ik denk dat je DNS het beste in Sandbox mode kan draaien. Bij een server
als BIND is dit ook vaak het geval, dan draait hij in een chroot enviroment.
14-04-2007, 11:33 door Anoniem
Onder w2k3sp1 kan je de DNS-service makkelijk onder een
ander (beperkt) gebruikers-account laten draaien. Starten en
stoppen gaat prima! Maar probeer eens een A-record toe te
voegen: "The host ... cannot be created. The server is
unavailable"....
Je moet dus eerst gaan uitzoeken waar dat account dan bij
moet kunnen, in de registry en op bestandsniveau.
Mijn ervaring met Windows is, dat het erg lastig is om dit
soort diensten onder beperkte accounts te laten draaien.
Mede daarom is Windows per definitie onveilig.
14-04-2007, 17:03 door G-Force
Meer info over het Windows DNS RPC interface vulnerability. Reden hiervoor is dat er sinds kort een exploit vrijgegeven is. Het is dus zaak om zo snel mogelijk de onderstaande workaround van Microsoft op te volgen.
http://www.microsoft.com/technet/security/advisory/935964.mspx

Meer informatie vindt men hieronder:
http://msinfluentials.com/blogs/jesper/archive/2007/04/13/turn-off-rpc-management-of-dns-on-all-dcs.aspx
http://www.dshield.org/diary.html?storyid=2633&dshield=b2e33a66018719556eff07a8bd2cae6b
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.