Microsoft waarschuwt sinds eind vorige week voor misbruik van een lek in de dns-service in Windows Server 2000 SP4 en Windows Server 2003 SP1 en SP2. De softwaregigant adviseert de misbruikte poorten 1024 tot en met 5000 te blokkeren of met geavanceerde tcp/ip-filterinstellingen een aanval af te wenden.
Greg Day, beveiligingsanalist bij McAfee, legt uit dat het lek voor grote problemen kan zorgen. "Men kan via het lek directe controle over een server krijgen. Ze omzeilen hierbij de authenticatieprocedures. Door ‘near bots' te installeren kunnen de gekraakte servers worden gebruikt voor het versturen van spam of om gebruikers onbewust door te sturen naar phishing websites."
Ondertussen ziet Symantec, een andere leverancier van beveiligingssoftware, het aantal scans op port 1025 met een factor vijftig toenemen. Volgens hen kan dit duiden op voorbereidingen voor een grootschalige aanval op het dns-lek in de server service van Microsoft. McAfees Greg Day: "Normale gebruikers valt het waarschijnlijk niet eens op dat er meer traffic op de server is. In principe ligt het voor de hand dat kwaadwillenden gericht proberen poorten te scannen op een pas ontdekt lek. Criminelen wachten op dit soort ‘zero-day vulnerabilities'. Om het risico te beperken kent veel van onze software proactieve beveiligingscontroles. Daarnaast hebben we net een update uitgebracht."
Ook de bètaversie van Longhorn en de Small Business Servers 2000 en 2003 zijn vatbaar voor het lek. Het is nog niet bekend of Microsoft het lek dicht met de reguliere maandelijkse patch van half mei of al eerder met een oplossing komt.
Als het lek inderdaad zo cruciaal was zoals jullie hadden aangegeven als hierboven in dit artikel, had MS willen voorkomen dat er een massale DNS-attack gedaan zou worden op alle Wndows-DNS-Server die deze wereldbol bevat. Poorten 1024/1025 staan standaard bij alle firewalls al dicht. Daarbij heb je voor DNS hele andere poorten nodig (53) en Remote Management heeft ook andere poorten, dus… don’t worry, be happy.
Zal waarschijnlijk zo’n vaart niet lopen, MS weet heel goed wat ze doen, anders kunnen ze een miljoenen-claim verwachten van honderden I.S.P.’s
Kijk hier voor nuttige informatie:
http://msinfluentials.com/blogs/jesper/archive/2007/04/13/turn-off-rpc-management-of-dns-on-all-dcs.aspx
@Mark Peter,
Het lek is inderdaad ernstig, dit komt voornamelijk omdat er 133 software componenten binnen windows hiervoor gevoelig zijn en dus er 133 aanvalsvectoren zijn.
Verder houd Microsoft vast aan haar patch cyclus, dit geeft hen ook tijd om de patches te testen en te vertalen (vanaf Vista en Longhorn komt vertalen van patchen te vervallen aangezien taal en techniek zijn gesplitst).
Het probleem dat Microsoft heeft is dat doordat ze van zoveel componenten code moet veranderen dat ze erg secuur te werk moeten gaan immers door een klein foutje in de verbetering kunnen ze voor de eindgebruiker meer stuk maken dan dat het gat op dit moment veroorzaakt.
Verder is het nog nooit zo geweest dat Microsoft aanvallen wil voorkomen, anders zouden hun software van huis uit beter geschreven zijn. Verschillende Explorer leks bewijzen dit (als ook vele leks die al jaren bekend zijn).
Verder is het zo dat de meeste Windows DNS server intern draaien bij organisaties, ivm active directory.
Er zijn amper organisaties te vinden die Windows DNS server voor internet gebruiken zelfs ISP’s die windows minded zijn gebruiken geen Microsoft DNS servers.
Poorten 1024/1025 staan outbound vrijwel nooit dicht, 1025 valt in dynamic port range en staat meestal inbound als outbound open. (M$ gebruikt 1024/1025 voor RPC o.a. active directory logon, zodat hij vrijwel altijd openstaat, als ook standaard)
DNS protocol gebruikt inderdaad 53 udp en voor zone transfers 53 tcp (wat je nooit voor buitenwereld moet toestaan).
Het punt is dat er vele Microsoft servers rechtstreeks aan het internet hangen, als deze toch al in kennis beperkte beheerders, deze servers ook nog eens voor DNS, HTTP en andere zaken gebruiken zal vaak ook zaken als andere poorten die windows servers standaard open zetten gevoelig zijn.
Zoals gezegd ISP’s gebruiken geen Microsoft DNS servers (extern), maar kleine ondernemingen die geen of amper beheer hebben, vaak wel en dat zijn juist degenen die op dit moment gevaar lopen.
Het betreft hier niet port 53……..zeker niet.
Het betreft het RPC protocol, waarvan MS altijd dacht dat het veilig was.
DAT moet je dus niet naar buitenlaten wijzen. Is iets dat alleen kan gebeuren als het met de hand is gewijzigd, en je weet niet waar je mee bezig bent….ach, geeft ook wel weer wat extra werk, in deze rustige dagen………