Akamai發(fā)現(xiàn)微軟DHCP動(dòng)態(tài)更新機(jī)制可被濫用于偽造DNS記錄

Akamai安全研究人員發(fā)現(xiàn)了一種濫用微軟DHCP（Dynamic Host Configuration Protocol）服務(wù)器，偽造DNS記錄（DNS Spoofing）的攻擊手法。攻擊者可在不需要授權(quán)的情況下，利用DHCP服務(wù)器默認(rèn)配置來(lái)偽造DNS記錄，借以竊取敏感資訊，甚至完全控制Active Directory域名，而由于微軟DHCP服務(wù)器廣受采用，因此有不少組織都暴露在風(fēng)險(xiǎn)之中。

微軟的目錄服務(wù)Active Directory提供網(wǎng)絡(luò)資源的集中式身份驗(yàn)證和授權(quán)，其運(yùn)行極高度依賴DNS，每個(gè)域名都需要DNS，托管一個(gè)被稱為Active Directory集成DNS（Active Directory Integrated DNS，ADIDNS）區(qū)域的特殊區(qū)域，ADIDNS區(qū)域托管了所有加入域名的計(jì)算機(jī)和Active Directory不同服務(wù)的DNS記錄，而此攻擊的目標(biāo)便是ADIDNS中的DNS記錄。

該攻擊利用DHCP動(dòng)態(tài)更新功能來(lái)欺騙DNS記錄。DHCP動(dòng)態(tài)更新功能是DHCP和DNS之間進(jìn)行協(xié)作的機(jī)制，該功能允許DHCP服務(wù)器自動(dòng)更新DNS記錄，因此當(dāng)有一個(gè)設(shè)備連接到網(wǎng)絡(luò)中，向DHCP服務(wù)器請(qǐng)求IP地址時(shí)，DHCP服務(wù)器會(huì)分配一個(gè)IP地址給設(shè)備，與此同時(shí)向DNS發(fā)送包含修改數(shù)據(jù)的更新請(qǐng)求，以確保DNS記錄可以即時(shí)反映新分配的IP地址。

在特定的配置下，動(dòng)態(tài)更新存在安全性問(wèn)題，DNS可能會(huì)接受任意來(lái)源請(qǐng)求。在使用安全更新的環(huán)境中，DNS更新請(qǐng)求會(huì)包含計(jì)算機(jī)網(wǎng)絡(luò)授權(quán)協(xié)議Kerberos票證，使客戶端和服務(wù)器端能夠進(jìn)行雙向認(rèn)證，但是當(dāng)攻擊者以特定方式獲取或是偽造票證，便可以欺騙DNS接受偽造DNS更新。

但由于有訪問(wèn)控制列表（ACL）的保護(hù)，一般來(lái)說(shuō)DNS記錄不會(huì)被復(fù)寫(xiě)。復(fù)寫(xiě)通常發(fā)生在DHCP服務(wù)器為管理記錄的擁有者時(shí)。例如，當(dāng)一臺(tái)非域名內(nèi)的Ubuntu服務(wù)器要求DHCP服務(wù)器代為注冊(cè)DNS記錄時(shí)，該記錄才會(huì)由DHCP服務(wù)器的機(jī)器賬戶擁有。這種攻擊只影響由DHCP創(chuàng)建的管理記錄，對(duì)于客戶端記錄像響有限，因?yàn)锳CL限制了這類復(fù)寫(xiě)。

對(duì)于無(wú)法自行注冊(cè)DNS記錄的非Windows客戶端和舊版Windows客戶端，這種攻擊就可能發(fā)揮效果。攻擊者可以利用微軟DHCP服務(wù)器，在任何ADIDNS區(qū)域中復(fù)寫(xiě)客戶端記錄，因?yàn)楫?dāng)DHCP服務(wù)器安裝在域名控制器上時(shí)，便可以復(fù)寫(xiě)域名控制器自己的記錄。此外，由于域名控制器機(jī)器賬戶在DNS更新時(shí)具有對(duì)所有記錄寫(xiě)入的權(quán)限，因此攻擊者也可以利用這一點(diǎn)，復(fù)寫(xiě)Active Directory集成區(qū)域中的任何DNS記錄。

此類攻擊的危險(xiǎn)性在于，攻擊者可偽造各種類型的DNS記錄，包括域名控制器的IP地址、用戶計(jì)算機(jī)名稱和IP，以及網(wǎng)站和服務(wù)的IP地址。通過(guò)偽造的DNS記錄，攻擊者可以竊取諸如登錄憑證和財(cái)務(wù)數(shù)據(jù)等敏感資訊，執(zhí)行惡意程序代碼，甚至是中斷網(wǎng)絡(luò)服務(wù)等。還能將域名控制器的IP指向惡意網(wǎng)站，在用戶嘗試連接域名控制器時(shí)，被導(dǎo)向惡意網(wǎng)站。

由于微軟DHCP服務(wù)器是一個(gè)常見(jiàn)的選擇，根據(jù)Akamai的估計(jì)，約有40%的數(shù)據(jù)中心網(wǎng)絡(luò)使用微軟DHCP服務(wù)器。研究人員提到，雖然微軟在其文件中告知了這類風(fēng)險(xiǎn)。但是這類配置風(fēng)險(xiǎn)在微軟DHCP服務(wù)器網(wǎng)絡(luò)中經(jīng)常見(jiàn)，且默認(rèn)情況下就容易被攻擊。