Microsoft waarschuwt voor aanval op Windows DNS Server lek
Microsoft heeft gebruikers van Windows 2000 en Windows Server 2003 gewaarschuwd voor aanvallen op een onbekend lek in de Domain Name System (DNS) Server Service. Via de aanval, die volgens de softwaregigant nog vrij beperkt in omvang is, kan een aanvaller willekeurige code in de context van de Domain Name System Server Service uitvoeren, die meestal met Local SYSTEM rechten draait.
De kwetsbaarheid is alleen aanwezig in Microsoft Windows 2000 Server Service Pack 4 en Microsoft Windows Server 2003 SP1 en SP2. Als oplossing wordt aangeraden om remote management over RPC voor de DNS server via een register aanpassing uit te schakelen, ongevraagd inkomend verkeer op poorten 1024-5000 via de firewall te blokkeren of geavanceerde TCP/IP filtering opties voor de interface te gebruiken.
... in de context van de Domain Name System Server Service
uitvoeren, die meestal met Local SYSTEM rechten draait.
Waarom, waarom, waarom draait zoiets als een DNS dat alleen
read rechten nodig heeft met zulke rechten? Prutsers zijn het.
(denk active directory) van clients in de dns database gezet?
... in de context van de Domain Name System Server Service
uitvoeren, die meestal met Local SYSTEM rechten draait.
Waarom, waarom, waarom draait zoiets als een DNS dat alleen
read rechten nodig heeft met zulke rechten? Prutsers zijn het.
Zoals BIND ook onder root draait? Als je SYSTEM niet goed vind, maak
je een speciaal account.
... in de context van de Domain Name System Server Service
uitvoeren, die meestal met Local SYSTEM rechten draait.
Waarom, waarom, waarom draait zoiets als een DNS dat alleen
read rechten nodig heeft met zulke rechten? Prutsers zijn
het.
Microsoft doet pas 7 jaar DNS... ze hebben niet het
marktaandeel en niet de security scrutiny die een pakket als
bind, inmiddels een jaar of 25 oud, wel hebben. En laten we
wel zijn, vroeger draaiden we bind ook als root.
... in de context van de Domain Name System Server Service
uitvoeren, die meestal met Local SYSTEM rechten draait.
Waarom, waarom, waarom draait zoiets als een DNS dat alleen
read rechten nodig heeft met zulke rechten? Prutsers zijn
het.
Dynamic DNS, Zone transfers etc. Allemaal zaken die meer
rechten nodig hebben dan read-only.
als BIND is dit ook vaak het geval, dan draait hij in een chroot enviroment.
ander (beperkt) gebruikers-account laten draaien. Starten en
stoppen gaat prima! Maar probeer eens een A-record toe te
voegen: "The host ... cannot be created. The server is
unavailable"....
Je moet dus eerst gaan uitzoeken waar dat account dan bij
moet kunnen, in de registry en op bestandsniveau.
Mijn ervaring met Windows is, dat het erg lastig is om dit
soort diensten onder beperkte accounts te laten draaien.
Mede daarom is Windows per definitie onveilig.
http://www.microsoft.com/technet/security/advisory/935964.mspx
Meer informatie vindt men hieronder:
http://msinfluentials.com/blogs/jesper/archive/2007/04/13/turn-off-rpc-management-of-dns-on-all-dcs.aspx
http://www.dshield.org/diary.html?storyid=2633&dshield=b2e33a66018719556eff07a8bd2cae6b
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
