Oprava DNS v serverech Windows se dočkala kritiky

Kritik tvrdí, že aktualizace MS09-008 ve skutečnosti pouze umožňuje zakázat určité názvy domén pro DNS servery, ale jádro problému neřeší. Navíc ji údajně není možné nainstalovat na servery, kde je již určena položka WPAD.


Tyler Reguly, senior security engineer společnosti nCircle Network Security tvrdí, že poslední opravy Microsoftu (Opravy Microsoftu: kernel Windows s GDI, DNS a SSL) ve skutečnosti nepředstavují řešení zranitelnosti v implementaci DNS (Kaminski: zabezpečení DNS se zlepšilo jen částečně), ale celé riziko pouze zmírňují. To podle Regulyho může být i kontraproduktivní, protože správci IT ve firmách se nyní mohou mylně domnívat, že jsou před chybou dostatečně chránění.

Regulyho kritika se týká opravy MS09-008. Tato kumulativní aktualizace je určena pro pro DNS a WNS servery provozované na všech serverových verzích Windows (od Windows 2000 po Server 2008). Námitky se vztahují k části aktualizace, která má opravovat funkci DNS serverů pro automatické zjišťování WPAD (Web Proxy Auto-Discovery). Jedná se o způsob, jak pro jednotlivé počítače automaticky nastavit DNS. Pokud má webový prohlížeč nakonfigurovanou volbu Automaticky zjišťovat nastavení (u lokalizovaného MS Internet Exploreru: Nástroje-Možnosti-Připojení-Nastavení místní sítě-Automaticky zjišťovat nastavení), bude konfigurační soubor hledat na adrese wpad.company.com. Pokud však útočník dokáže manipulovat s touto položkou, veškerý provoz z počítače bude probíhat přes jím nastavený proxy server. To samozřejmě umožňuje útok typu man-in-the-middle s krádeží hesel a dalších citlivých informací.

Reguly tvrdí, že aktualizace MS09-008 ve skutečnosti pouze umožňuje zakázat určité názvy domén pro DNS servery, ale jádro problému neřeší. Navíc ji údajně není možné nainstalovat na servery, kde je již určena položka WPAD. To by ještě nebylo nejhorší, problém ovšem je, že se při tom nezobrazí žádné chybové hlášení, takže správci žijí v domnění, že problém, vyřešili. Podle jeho názoru by se alespoň měla objevit zpráva, že oprava nelze použít pro servery s nastavenou položkou WPAD.

Microsoft na to ovšem namítá, že aktualizace nemohou ohrozit servery v produkčním prostředí. Pokud firmy již mají položky WPAD a ISATAP, není možné přidat je do seznamu zakázaných doménových názvů, protože by to mohlo vést ke ztrátě funkčnosti. DNS servery se pak nadále budou řídit touto položkou. Zjednodušeně řečeno, spor se tedy vede v rovině funkčnost vs. zabezpečení (to když by útočníci s položkou WPAD mohli nadále nějak manipulovat).

Reakci Microsoftu a upřesnění týkající se chování DNS serverů po instalaci záplaty podává dokument zde.

 

Zdroj: Computerworld.com

 

 











Komentáře