ex0r2k16
Goto Top

Aktuelle DNS Lücke in Windows Server

Mahlzeit,

hat jemand den "Workaround" von MS schon auf nem DC getestet?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00

Hintergrund: https://www.golem.de/news/windows-server-sigred-ist-eine-wurmartige-krit ...

Irgendwie trau ich mich nicht face-wink

Gruß,
Ex0r
Kommentar vom Moderator tomolpi am 15.07.2020 um 20:46:23 Uhr
Code-Tags hinzugefügt & Titel verfeinert

Content-ID: 587836

Url: https://administrator.de/contentid/587836

Ausgedruckt am: 05.11.2024 um 02:11 Uhr

tomolpi
tomolpi 15.07.2020 um 15:59:38 Uhr
Goto Top
Zitat von @Ex0r2k16:

Mahlzeit,
Hallo,

Irgendwie trau ich mich nicht face-wink
Hast Du keine Testumgebung zum Spielen (und Sachen testen, bevor es live geht)?

Ich habe es aber noch nicht getestet.
Gruß,
Ex0r
tomolpi
Ex0r2k16
Ex0r2k16 15.07.2020 um 16:01:25 Uhr
Goto Top
Zitat von @tomolpi:

Zitat von @Ex0r2k16:

Mahlzeit,
Hallo,

Irgendwie trau ich mich nicht face-wink
Hast Du keine Testumgebung zum Spielen (und Sachen testen, bevor es live geht)?

negativ face-sad Arbeite aber drann. Vielleicht ab nächstem Jahr face-smile

Fleissig Snapshoten und Backup geht zwar auch irgendwie, nervt aber auf Dauer, jup.
144705
144705 15.07.2020 aktualisiert um 16:14:45 Uhr
Goto Top
hat jemand den "Workaround" von MS schon auf nem DC getestet?
Ja, hilft auf jeden Fall gegen den Exploit, mit ner Test-Payload gerade mal mit und ohne Setting getestet.
Die Einstellung bewirkt ja nur das einzelne TCP DNS Anfragen auf max. 65kbytes begrenzt werden damit die malformed packets vom Dienst ja schon gar nicht mehr angenommen werden.
SeaStorm
Lösung SeaStorm 15.07.2020 um 16:16:52 Uhr
Goto Top
Ich habe eben auf dem Testsystem und nach kurzen tests auf allen Produktiven DCs den patch installiert. Bisher gibt's noch keinen Brand face-smile

Aber lieber irgendwelche obskuren DNS Probleme haben als viele Domänenadmins face-smile
marc-1303
marc-1303 15.07.2020 um 16:44:58 Uhr
Goto Top
Hallo Ex0r

Ich habe den Workaround heute früh auf meinen drei DCs (2012 R2) angewendet.
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00)

Bislang keine Probleme. Das Tagesgeschäft läuft wie zuvor.

Grüsse
Marc
maxblank
Lösung maxblank 15.07.2020 um 20:47:41 Uhr
Goto Top
Hallo, Patch heute früh in der Testumgebung eingespielt und getestet, keinerlei Probleme.
Danach auf 4 produktiven DCs in Betrieb genommen. Bisher läuft alles rund. 👍🏻

Grüße
maxblank
tomolpi
Lösung tomolpi 15.07.2020 um 20:50:19 Uhr
Goto Top
Zitat von @maxblank:

Hallo, Patch heute früh in der Testumgebung eingespielt und getestet, keinerlei Probleme.
Danach auf 4 produktiven DCs in Betrieb genommen. Bisher läuft alles rund. 👍🏻
Ich habe eben im Lab und danach auch live nachgezogen, ich schließe mich meine Vorrednern an, keine Probleme.
Grüße
maxblank
tomolpi
VGem-e
Lösung VGem-e 16.07.2020 um 07:51:53 Uhr
Goto Top
Moin,

gestern nachmittags im Officebetrieb den Workaround gleich "live" am DC eingetragen und bislang keine Beschwerden von Kollegen, dass etwas nicht mehr funktioniert!
Der Patch ist inzwischen auch schon installiert und bislang ebenfalls keine Probleme festgestellt.

Gruß
NetzwerkDude
NetzwerkDude 16.07.2020 um 13:05:32 Uhr
Goto Top
Wenn man sich die beschreibung des gesamten exploits anschaut:
https://research.checkpoint.com/2020/resolving-your-way-into-domain-admi ...

sind ja etliche sachen die zusammengechained werden müssen, spannende sache face-smile
Ex0r2k16
Ex0r2k16 16.07.2020 um 13:50:05 Uhr
Goto Top
Habe den Fix jetzt auch erst mal angewendet, da es nochwas dauert bis zum Patchday. Vergesst nich den DNS Dienst neuzustarten. Bisher jedenfalls ebenfalls keine Probleme.
Ex0r2k16
Ex0r2k16 16.07.2020 um 13:54:07 Uhr
Goto Top
Wow danke für den Link. Das ist mir aber echt ne Nummer zu hoch :D
NetzwerkDude
NetzwerkDude 17.07.2020 aktualisiert um 11:13:27 Uhr
Goto Top
Falls jemand gerade nicht die möglichkeit hat Zeitnah den REG anzupassen oder den Patch einzuspielen:
Eigentlich müsste es ausreichen die TCP Port 53 Kommunikation des DNS Servers ins Internet zu unterbinden, z.B. via Firewall.
Der Exploit funktioniert nur wenn der Windows DNS Server als Client fungiert und das Antwortpaket via TCP kommt.

Eigentlich wäre es mal spannend zu erfahren obs da draußen schon NS gibt die so eine Antwort ausliefern :D

Edit: Auch schön:
Aus https://research.checkpoint.com/2020/resolving-your-way-into-domain-admi ...
It appears that, unlike dns.exe!SigWireRead, dnsapi.dll!Sig_RecordRead does validate at Sig_RecordRead+D0 that the value that is passed to dnsapi.dll!Dns_AllocateRecordEx is less than 0xFFFF bytes, thus preventing the overflow.
The fact that this vulnerability does not exist in dnsapi.dll, as well as having different naming conventions between the two modules, leads us to believe that Microsoft manages two completely different code bases for the DNS server and the DNS client, and does not synchronize bug patches between them.


Verschwörungstheorien anyone? Eine Backdoor! :D
Ex0r2k16
Ex0r2k16 17.07.2020 um 11:20:20 Uhr
Goto Top
Ich bin jz kein Experte aber blockst du damit nicht auch die Verbindung zu den Root NS weg?
NetzwerkDude
NetzwerkDude 17.07.2020 aktualisiert um 11:24:01 Uhr
Goto Top
Naja, 99,9% der DNS Anfragen klappen über UDP, durch die sperre von TCP/53 sollte also alles i.O. sein.
Wie gesagt, ist nur ein alternativvorschlag wenn man grad Resssourcenknappheit hat und es nicht sofort "richtig" patchen kann
Ex0r2k16
Ex0r2k16 17.07.2020 um 11:50:50 Uhr
Goto Top
Ich habe mal irgendwo gehört, dass man den eigenen DNS quasie eh komplett vom Internet abschotten kann. Also als DNS Hardening Maßnahme. Daher liegts du damit vermutlich wohl ganz gut.