Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator tomolpi am 15.07.2020 um 20:46:23 Uhr
Code-Tags hinzugefügt & Titel verfeinert

gelöst Aktuelle DNS Lücke in Windows Server

Mitglied: Ex0r2k16

Ex0r2k16 (Level 2) - Jetzt verbinden

15.07.2020, aktualisiert 20:47 Uhr, 763 Aufrufe, 15 Kommentare, 5 Danke

Mahlzeit,

hat jemand den "Workaround" von MS schon auf nem DC getestet?

Hintergrund: https://www.golem.de/news/windows-server-sigred-ist-eine-wurmartige-krit ...

Irgendwie trau ich mich nicht

Gruß,
Ex0r
Mitglied: tomolpi
15.07.2020 um 15:59 Uhr
Zitat von Ex0r2k16:

Mahlzeit,
Hallo,

Irgendwie trau ich mich nicht
Hast Du keine Testumgebung zum Spielen (und Sachen testen, bevor es live geht)?

Ich habe es aber noch nicht getestet.
Gruß,
Ex0r
tomolpi
Bitte warten ..
Mitglied: Ex0r2k16
15.07.2020 um 16:01 Uhr
Zitat von tomolpi:

Zitat von Ex0r2k16:

Mahlzeit,
Hallo,

Irgendwie trau ich mich nicht
Hast Du keine Testumgebung zum Spielen (und Sachen testen, bevor es live geht)?

negativ Arbeite aber drann. Vielleicht ab nächstem Jahr

Fleissig Snapshoten und Backup geht zwar auch irgendwie, nervt aber auf Dauer, jup.
Bitte warten ..
Mitglied: 144705
15.07.2020, aktualisiert um 16:14 Uhr
hat jemand den "Workaround" von MS schon auf nem DC getestet?
Ja, hilft auf jeden Fall gegen den Exploit, mit ner Test-Payload gerade mal mit und ohne Setting getestet.
Die Einstellung bewirkt ja nur das einzelne TCP DNS Anfragen auf max. 65kbytes begrenzt werden damit die malformed packets vom Dienst ja schon gar nicht mehr angenommen werden.
Bitte warten ..
Mitglied: SeaStorm
LÖSUNG 15.07.2020 um 16:16 Uhr
Ich habe eben auf dem Testsystem und nach kurzen tests auf allen Produktiven DCs den patch installiert. Bisher gibt's noch keinen Brand

Aber lieber irgendwelche obskuren DNS Probleme haben als viele Domänenadmins
Bitte warten ..
Mitglied: marc-1303
15.07.2020 um 16:44 Uhr
Hallo Ex0r

Ich habe den Workaround heute früh auf meinen drei DCs (2012 R2) angewendet.
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00)

Bislang keine Probleme. Das Tagesgeschäft läuft wie zuvor.

Grüsse
Marc
Bitte warten ..
Mitglied: maxblank
LÖSUNG 15.07.2020 um 20:47 Uhr
Hallo, Patch heute früh in der Testumgebung eingespielt und getestet, keinerlei Probleme.
Danach auf 4 produktiven DCs in Betrieb genommen. Bisher läuft alles rund. 👍🏻

Grüße
maxblank
Bitte warten ..
Mitglied: tomolpi
LÖSUNG 15.07.2020 um 20:50 Uhr
Zitat von maxblank:

Hallo, Patch heute früh in der Testumgebung eingespielt und getestet, keinerlei Probleme.
Danach auf 4 produktiven DCs in Betrieb genommen. Bisher läuft alles rund. 👍🏻
Ich habe eben im Lab und danach auch live nachgezogen, ich schließe mich meine Vorrednern an, keine Probleme.
Grüße
maxblank
tomolpi
Bitte warten ..
Mitglied: VGem-e
LÖSUNG 16.07.2020 um 07:51 Uhr
Moin,

gestern nachmittags im Officebetrieb den Workaround gleich "live" am DC eingetragen und bislang keine Beschwerden von Kollegen, dass etwas nicht mehr funktioniert!
Der Patch ist inzwischen auch schon installiert und bislang ebenfalls keine Probleme festgestellt.

Gruß
Bitte warten ..
Mitglied: NetzwerkDude
16.07.2020 um 13:05 Uhr
Wenn man sich die beschreibung des gesamten exploits anschaut:
https://research.checkpoint.com/2020/resolving-your-way-into-domain-admi ...

sind ja etliche sachen die zusammengechained werden müssen, spannende sache
Bitte warten ..
Mitglied: Ex0r2k16
16.07.2020 um 13:50 Uhr
Habe den Fix jetzt auch erst mal angewendet, da es nochwas dauert bis zum Patchday. Vergesst nich den DNS Dienst neuzustarten. Bisher jedenfalls ebenfalls keine Probleme.
Bitte warten ..
Mitglied: Ex0r2k16
16.07.2020 um 13:54 Uhr
Wow danke für den Link. Das ist mir aber echt ne Nummer zu hoch :D
Bitte warten ..
Mitglied: NetzwerkDude
17.07.2020, aktualisiert um 11:13 Uhr
Falls jemand gerade nicht die möglichkeit hat Zeitnah den REG anzupassen oder den Patch einzuspielen:
Eigentlich müsste es ausreichen die TCP Port 53 Kommunikation des DNS Servers ins Internet zu unterbinden, z.B. via Firewall.
Der Exploit funktioniert nur wenn der Windows DNS Server als Client fungiert und das Antwortpaket via TCP kommt.

Eigentlich wäre es mal spannend zu erfahren obs da draußen schon NS gibt die so eine Antwort ausliefern :D

Edit: Auch schön:
Aus https://research.checkpoint.com/2020/resolving-your-way-into-domain-admi ...
It appears that, unlike dns.exe!SigWireRead, dnsapi.dll!Sig_RecordRead does validate at Sig_RecordRead+D0 that the value that is passed to dnsapi.dll!Dns_AllocateRecordEx is less than 0xFFFF bytes, thus preventing the overflow.
The fact that this vulnerability does not exist in dnsapi.dll, as well as having different naming conventions between the two modules, leads us to believe that Microsoft manages two completely different code bases for the DNS server and the DNS client, and does not synchronize bug patches between them.


Verschwörungstheorien anyone? Eine Backdoor! :D
Bitte warten ..
Mitglied: Ex0r2k16
17.07.2020 um 11:20 Uhr
Ich bin jz kein Experte aber blockst du damit nicht auch die Verbindung zu den Root NS weg?
Bitte warten ..
Mitglied: NetzwerkDude
17.07.2020, aktualisiert um 11:24 Uhr
Naja, 99,9% der DNS Anfragen klappen über UDP, durch die sperre von TCP/53 sollte also alles i.O. sein.
Wie gesagt, ist nur ein alternativvorschlag wenn man grad Resssourcenknappheit hat und es nicht sofort "richtig" patchen kann
Bitte warten ..
Mitglied: Ex0r2k16
17.07.2020 um 11:50 Uhr
Ich habe mal irgendwo gehört, dass man den eigenen DNS quasie eh komplett vom Internet abschotten kann. Also als DNS Hardening Maßnahme. Daher liegts du damit vermutlich wohl ganz gut.
Bitte warten ..
Ähnliche Inhalte
DNS
DNS-Festlegung Windows
gelöst Frage von Kuerbis2020DNS19 Kommentare

DNS-Festlegung: Wo kann man das statische DNS festlegen und an welcher stelle wird das vorgenommen? A: Feste IP-Adresse für ...

Windows Server

DNS Abfragen von Windows Clients auf Windows DNS Server nachverfolgen

gelöst Frage von jojo0411Windows Server2 Kommentare

Hallo Leute, Wir haben seit kurzem Cisco Umbrella (Open DNS) im Einsatz und der zeigt uns jetzt allerhand Domänen ...

Windows Server

Eintrag Windows DNS Reverse-Lookupzone

Frage von chris123Windows Server7 Kommentare

Guten Tag, ich möchte manuell einen Zeiger (PTR) in der DNS Reverse-Lookupzone erstellen. Wenn ich die IP-Adresse 192.168.5.30 eingebe, ...

Windows Server

Probleme mit Windows DNS Server

Frage von florian.rhombergWindows Server12 Kommentare

Hallo liebe Leute, ich habe seit heute Mittag das Problem, dass bei einem unserer Kunden plötzlich die externe DNS ...

Neue Wissensbeiträge
Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 16 StundenMonitoring

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 2 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 4 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 6 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Heiß diskutierte Inhalte
Google Android
Smartphone - Internes Radio auf Bluetooth Lautsprecher abspielen
Frage von emeriksGoogle Android22 Kommentare

Hi, vielleicht kann ja einer von Euch auch sowas beantworten. Ich habe hier ein Samsung Smartphone - S10 Lite. ...

Windows Server
DCPromo bleibt bei Migration Server 2008R2 auf 2016 hängen
gelöst Frage von Leo-leWindows Server20 Kommentare

Hallo Forum, wir sind gerade dabei, unsere beiden DCs auf Server 2016 zu migrieren. Aktuell hängt der zusätzlich ins ...

Ausbildung
Wie wird man zum Systemadministrator?
gelöst Frage von DavidHergAusbildung19 Kommentare

Guten Abend zusammen, Ich hatte hier schon ein paar Fragen gestellt, und mir wurde super weiter geholfen! Ich mache ...

Windows Server
Denselben Port auf verschiedenen Netzwerkkarten nutzen
gelöst Frage von entchenbrotWindows Server17 Kommentare

Hi wir haben einen Server PC mit verschiedenen Netzwerkkarten als Art Gaming-Server und würden gerne ein Spiel in zwei ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...