Una serie di attacchi contro i domini di Microsoft Active Directory potrebbe permettere ai malintenzionati di falsificare i record DNS, compromettere Active Directory e rubare tutti i segreti che conserva. Secondo i ricercatori di sicurezza di Akamai, questi attacchi sono possibili contro server che eseguono la configurazione predefinita dei server Microsoft Dynamic Host Configuration Protocol (DHCP) e non richiedono alcuna credenziale.
Dettagli dell’Attacco e Vulnerabilità
Akamai ha riferito che il 40% delle “migliaia” di reti monitorate utilizza Microsoft DHCP in una configurazione vulnerabile. La ricerca sull’attacco DHCP si basa su lavori precedenti di Kevin Roberton di NETSPI, che ha dettagliato modi per sfruttare le falle nelle zone DNS.
Problemi con gli Aggiornamenti Dinamici DNS DHCP
Quando il server DHCP registra o modifica un record DNS per conto dei suoi clienti, utilizza gli Aggiornamenti Dinamici DNS DHCP, che non richiedono alcuna autenticazione da parte del client DHCP. I server DHCP di Microsoft abilitano gli Aggiornamenti Dinamici DNS DHCP per impostazione predefinita. Ciò significa che un attaccante può utilizzare il server DHCP per autenticarsi al server DNS per conto proprio, ottenendo così l’accesso alla zona ADIDNS senza alcuna credenziale.
Implicazioni e Rischi
Gli attacchi di spoofing DNS DHCP possono anche essere utilizzati per sovrascrivere dati esistenti, inclusi i record DNS all’interno della zona ADI, in casi in cui il server DHCP è installato su un controller di dominio. Akamai ha scoperto che questo è il caso nel 57% delle reti che monitora. Tutti questi domini sono vulnerabili per impostazione predefinita.
Risposta di Microsoft e Consigli di Akamai
Microsoft non ha pianificato di risolvere il problema e non ha risposto alle richieste di commento da parte di The Register. Akamai ha fornito uno strumento che gli amministratori di sistema possono utilizzare per rilevare configurazioni a rischio. Inoltre, Akamai ha identificato un’altra funzionalità, il gruppo DNSUpdateProxy, che presenta anche un rischio di sicurezza e potenzialmente contiene un bug.
Consigli per la Sicurezza
In attesa di una risposta da Microsoft, Akamai suggerisce di disabilitare gli Aggiornamenti Dinamici DNS DHCP se non è già stato fatto e di evitare del tutto DNSUpdateProxy. Il consiglio è di utilizzare le stesse credenziali DNS su tutti i server DHCP.