ex0r2k16
Goto Top

Aktuelle DNS Lücke in Windows Server

Mahlzeit,

hat jemand den "Workaround" von MS schon auf nem DC getestet?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00

Hintergrund: https://www.golem.de/news/windows-server-sigred-ist-eine-wurmartige-krit ...

Irgendwie trau ich mich nicht face-wink

Gruß,
Ex0r
Kommentar vom Moderator tomolpi am Jul 15, 2020 um 18:46:23 Uhr
Code-Tags hinzugefügt & Titel verfeinert

Content-Key: 587836

Url: https://administrator.de/contentid/587836

Printed on: May 23, 2024 at 12:05 o'clock

Member: tomolpi
tomolpi Jul 15, 2020 at 13:59:38 (UTC)
Goto Top
Zitat von @Ex0r2k16:

Mahlzeit,
Hallo,

Irgendwie trau ich mich nicht face-wink
Hast Du keine Testumgebung zum Spielen (und Sachen testen, bevor es live geht)?

Ich habe es aber noch nicht getestet.
Gruß,
Ex0r
tomolpi
Member: Ex0r2k16
Ex0r2k16 Jul 15, 2020 at 14:01:25 (UTC)
Goto Top
Zitat von @tomolpi:

Zitat von @Ex0r2k16:

Mahlzeit,
Hallo,

Irgendwie trau ich mich nicht face-wink
Hast Du keine Testumgebung zum Spielen (und Sachen testen, bevor es live geht)?

negativ face-sad Arbeite aber drann. Vielleicht ab nächstem Jahr face-smile

Fleissig Snapshoten und Backup geht zwar auch irgendwie, nervt aber auf Dauer, jup.
Mitglied: 144705
144705 Jul 15, 2020 updated at 14:14:45 (UTC)
Goto Top
hat jemand den "Workaround" von MS schon auf nem DC getestet?
Ja, hilft auf jeden Fall gegen den Exploit, mit ner Test-Payload gerade mal mit und ohne Setting getestet.
Die Einstellung bewirkt ja nur das einzelne TCP DNS Anfragen auf max. 65kbytes begrenzt werden damit die malformed packets vom Dienst ja schon gar nicht mehr angenommen werden.
Member: SeaStorm
Solution SeaStorm Jul 15, 2020 at 14:16:52 (UTC)
Goto Top
Ich habe eben auf dem Testsystem und nach kurzen tests auf allen Produktiven DCs den patch installiert. Bisher gibt's noch keinen Brand face-smile

Aber lieber irgendwelche obskuren DNS Probleme haben als viele Domänenadmins face-smile
Member: marc-1303
marc-1303 Jul 15, 2020 at 14:44:58 (UTC)
Goto Top
Hallo Ex0r

Ich habe den Workaround heute früh auf meinen drei DCs (2012 R2) angewendet.
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00)

Bislang keine Probleme. Das Tagesgeschäft läuft wie zuvor.

Grüsse
Marc
Member: maxblank
Solution maxblank Jul 15, 2020 at 18:47:41 (UTC)
Goto Top
Hallo, Patch heute früh in der Testumgebung eingespielt und getestet, keinerlei Probleme.
Danach auf 4 produktiven DCs in Betrieb genommen. Bisher läuft alles rund. 👍🏻

Grüße
maxblank
Member: tomolpi
Solution tomolpi Jul 15, 2020 at 18:50:19 (UTC)
Goto Top
Zitat von @maxblank:

Hallo, Patch heute früh in der Testumgebung eingespielt und getestet, keinerlei Probleme.
Danach auf 4 produktiven DCs in Betrieb genommen. Bisher läuft alles rund. 👍🏻
Ich habe eben im Lab und danach auch live nachgezogen, ich schließe mich meine Vorrednern an, keine Probleme.
Grüße
maxblank
tomolpi
Member: VGem-e
Solution VGem-e Jul 16, 2020 at 05:51:53 (UTC)
Goto Top
Moin,

gestern nachmittags im Officebetrieb den Workaround gleich "live" am DC eingetragen und bislang keine Beschwerden von Kollegen, dass etwas nicht mehr funktioniert!
Der Patch ist inzwischen auch schon installiert und bislang ebenfalls keine Probleme festgestellt.

Gruß
Member: NetzwerkDude
NetzwerkDude Jul 16, 2020 at 11:05:32 (UTC)
Goto Top
Wenn man sich die beschreibung des gesamten exploits anschaut:
https://research.checkpoint.com/2020/resolving-your-way-into-domain-admi ...

sind ja etliche sachen die zusammengechained werden müssen, spannende sache face-smile
Member: Ex0r2k16
Ex0r2k16 Jul 16, 2020 at 11:50:05 (UTC)
Goto Top
Habe den Fix jetzt auch erst mal angewendet, da es nochwas dauert bis zum Patchday. Vergesst nich den DNS Dienst neuzustarten. Bisher jedenfalls ebenfalls keine Probleme.
Member: Ex0r2k16
Ex0r2k16 Jul 16, 2020 at 11:54:07 (UTC)
Goto Top
Wow danke für den Link. Das ist mir aber echt ne Nummer zu hoch :D
Member: NetzwerkDude
NetzwerkDude Jul 17, 2020 updated at 09:13:27 (UTC)
Goto Top
Falls jemand gerade nicht die möglichkeit hat Zeitnah den REG anzupassen oder den Patch einzuspielen:
Eigentlich müsste es ausreichen die TCP Port 53 Kommunikation des DNS Servers ins Internet zu unterbinden, z.B. via Firewall.
Der Exploit funktioniert nur wenn der Windows DNS Server als Client fungiert und das Antwortpaket via TCP kommt.

Eigentlich wäre es mal spannend zu erfahren obs da draußen schon NS gibt die so eine Antwort ausliefern :D

Edit: Auch schön:
Aus https://research.checkpoint.com/2020/resolving-your-way-into-domain-admi ...
It appears that, unlike dns.exe!SigWireRead, dnsapi.dll!Sig_RecordRead does validate at Sig_RecordRead+D0 that the value that is passed to dnsapi.dll!Dns_AllocateRecordEx is less than 0xFFFF bytes, thus preventing the overflow.
The fact that this vulnerability does not exist in dnsapi.dll, as well as having different naming conventions between the two modules, leads us to believe that Microsoft manages two completely different code bases for the DNS server and the DNS client, and does not synchronize bug patches between them.


Verschwörungstheorien anyone? Eine Backdoor! :D
Member: Ex0r2k16
Ex0r2k16 Jul 17, 2020 at 09:20:20 (UTC)
Goto Top
Ich bin jz kein Experte aber blockst du damit nicht auch die Verbindung zu den Root NS weg?
Member: NetzwerkDude
NetzwerkDude Jul 17, 2020 updated at 09:24:01 (UTC)
Goto Top
Naja, 99,9% der DNS Anfragen klappen über UDP, durch die sperre von TCP/53 sollte also alles i.O. sein.
Wie gesagt, ist nur ein alternativvorschlag wenn man grad Resssourcenknappheit hat und es nicht sofort "richtig" patchen kann
Member: Ex0r2k16
Ex0r2k16 Jul 17, 2020 at 09:50:50 (UTC)
Goto Top
Ich habe mal irgendwo gehört, dass man den eigenen DNS quasie eh komplett vom Internet abschotten kann. Also als DNS Hardening Maßnahme. Daher liegts du damit vermutlich wohl ganz gut.