Se han detectado degradaciones de cache en sistemas con Microsoft DNS
Server. Las configuraciones por defecto o las configuraciones
incorrectas de este software permiten que se almacenen en cache datos
provenientes de servidores maliciosos o incorrectamente configurados.
Esta degradación puede provocar información de resolución de nombres DNS
erronea.
En la configuración por defecto el servidor DNS de Microsoft acepta
falsos registros de servidores no-delegados. Estos falsos registros se
añaden a la cache cuando un cliente intenta resolver un nombre
particular de host a través de un servidor DNS malicioso o
incorrectamente configurado.
En la actualidad se han detectado sitios ocupados de forma activa en
esta falsa resolución de nombres. Estos servidores DNS maliciosos están
proporcionando registros para dominios genéricos de primer nivel
(gtld-servers.net) lo que provoca de forma potencial resultados erroneos
para cualquier petición DNS.
Tanto con Windows NT 4.0 Service Pack 4 (SP4) o posterior como con
Windows 2000 el servidor DNS de Microsoft puede filtrar las respuestas
para los registros no seguros. En ambos casos, para habilitar esta
característica es necesario proceder de la siguiente forma:
1. Iniciar el Editor del Registro (Regedt32.exe).
2. Localizar la entrada:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
3. En el menú Editar seleccionar Añadir valor e introducir el siguiente
valor de registro:
Nombre: SecureResponses
Tipo de datos: REG_DWORD
Valor: 1 (Para eliminar datos no seguros)
4. Salir del Editor de Registro.
Por defecto esta clave no existe y los datos no seguros no se eliminan
de las respuestas.
Por defecto esta clave no existe y los datos no seguros no se eliminan
de las respuestas.
En Windows 2000 también se puede llevar a cabo desde el propio interfaz
gráfico, para lo cual desde la consola de administración DNS
seleccionando: Inicio, Programas, Herramientas Administrativas, DNS.
Seleccionar con el botón derecho el nombre del servidor en el panel
izquierdo y seleccionar Propiedades. En la ventana seleccionar la
pestaña Propiedades y marcar el cuadro Asegurar cache.
antonior@hispasec.com
Más información:
CERT Incident Note IN-2001-11:
http://www.cert.org/incident_notes/IN-2001-11.html
Microsoft: How to Prevent DNS Cache Pollution (Q241352):
http://support.microsoft.com/support/kb/articles/Q241/3/52.asp
http://msdn.microsoft.com/library/en-us/regentry/46753.asp
Deja una respuesta