• Artigo

Consultoria de Segurança

Comunicado de Segurança da Microsoft 971888

Atualização para devolução de DNS

Publicado em: 09 de junho de 2009

Versão: 1.0

A Microsoft está anunciando a disponibilidade de uma atualização para a devolução de DNS que pode ajudar os clientes a manter seus sistemas protegidos. Os clientes cujo nome de domínio tem três ou mais rótulos, como "contoso.co.us", ou que não têm uma lista de sufixos DNS configurada, ou para os quais os fatores atenuantes a seguir não se aplicam, podem inadvertidamente estar permitindo que os sistemas cliente tratem os sistemas fora do limite organizacional como se fossem internos ao limite da organização.

Fatores atenuantes:

  • Os clientes que ingressaram em um domínio e têm uma lista de pesquisa de sufixos DNS configurada em seus sistemas não correm o risco de tratar inadvertidamente sistemas externos como se fossem internos. A Microsoft incentiva todos os clientes corporativos a definir listas de pesquisa de sufixos DNS em sistemas cliente para garantir que todas as consultas DNS permaneçam dentro dos limites organizacionais.
  • Na maioria dos casos, os usuários domésticos que não são membros de um domínio não usam a devolução de DNS e, portanto, não estão expostos a esse risco. Usuários domésticos que não são membros de um domínio, mas configuraram um sufixo DNS primário, no entanto, usam a devolução de DNS e correm o risco de tratar inadvertidamente sistemas externos como se fossem internos.
  • Os clientes cujo nome de domínio DNS consiste em dois rótulos não estão expostos a esse risco. Um exemplo de cliente que não é afetado é contoso.com ou fabrikam.gov, em que "contoso" e "fabrikam" são nomes de domínio registrados pelo cliente em seus respectivos domínios de nível superior (TLDs) ".com" e ".gov".

Informações Gerais

Visão geral

Objetivo do Comunicado: Fornecer esclarecimentos e notificações sobre a disponibilidade de uma atualização não relacionada à segurança que possa ajudar os clientes a manter seus sistemas protegidos.

Status do Comunicado: Artigo da Base de Dados de Conhecimento Microsoft e atualizações associadas foram lançados.

Recomendação: Revise a base de dados de conhecimento referenciada e aplique as atualizações apropriadas.

Referências Identificação
Artigo da Base de Dados de Conhecimento Microsoft 957579

Este comunicado aborda o seguinte software.

Softwares afetados
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 e Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edição Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados no Itanium e Windows Server 2008 para sistemas baseados no Itanium Service Pack 2

Perguntas frequentes

Qual o escopo da assessoria?
Este comunicado fornece notificação de que estão disponíveis atualizações que ajudam a definir um limite organizacional para sistemas que ingressaram no domínio, mas não têm uma lista de sufixos DNS configurada. Atualizações estão disponíveis para o software listado na seção Visão geral .

O que é um domínio de nível superior (TLD)?
O domínio de nível superior (TLD) é a última parte de um nome de domínio da Internet. Estas são as letras que seguem o ponto final de qualquer nome de domínio. Por exemplo, no wpad.western.corp.contoso.co.us de nome de domínio, o TLD é ".us". Os TLDs podem ser divididos principalmente em dois tipos: código de país e genérico. TLDs de código de país são abreviações de duas letras para cada país. Neste exemplo, .us é para Estados Unidos. TLDs genéricos são as abreviações de três (ou maiores) letras mais tradicionalmente reconhecíveis, como .com, .net, .org, etc. Para obter uma lista completa de todos os TLDs disponíveis, consulte a lista a seguir em IANA.

O que é um sufixo DNS primário (PDS)?
Este é o nome de domínio anexado à direita do nome de host de rótulo único de um computador. Um nome de domínio totalmente qualificado (FQDN) pode ser definido como <nome> de host.<sufixo> DNS primário. Por padrão, a parte do sufixo DNS primário do FQDN de um computador é igual ao nome do domínio do Active Directory ao qual o computador está associado. No entanto, o PDS de um computador pode ser diferente do domínio DNS ao qual ele está associado quando configurado por meio da caixa de diálogo Propriedades de Meu computador.

O que é um domínio de segundo nível (SLD)?
Um domínio de segundo nível (SLD) é um domínio localizado diretamente "abaixo" ou à esquerda do TLD. No exemplo anterior, wpad.western.corp.contoso.co.us, o SLD é ".co". O registro mais comum de SLDs é sob TLDs de código de país. Os Estados Unidos usam principalmente o SLD para registro estadual dos EUA, como ".co.us" para o estado do Colorado, por exemplo. SLDs não-americanos geralmente reutilizam nomes comuns de TLDs, como ".com.sg".

O que o recurso de devolução de DNS faz?
A devolução é um recurso de cliente DNS do Windows. A devolução é o processo pelo qual os clientes DNS do Windows resolvem consultas DNS para nomes de host não qualificados de rótulo único. As consultas são construídas anexando PDS ao nome do host. A consulta é repetida removendo sistematicamente o rótulo mais à esquerda no PDS até que o nome do host + PDS restante seja resolvido ou apenas dois rótulos permaneçam no PDS removido. Por exemplo, os clientes Windows que procuram "Rótulo único" no domínio western.corp.contoso.co.us consultarão progressivamente Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us e, em seguida, Single-label.co.us até encontrar um sistema que resolva. Esse processo é chamado de devolução. Para obter informações adicionais sobre o serviço de cliente DNS e a devolução, consulte a seção Resolução de nomes para rótulo único, nomes de domínio não qualificados no artigo do TechNet, Fundamentos de TCP/IP para Windows, Capítulo 9 - Suporte do Windows para DNS.

O que causa esse risco?
Um usuário mal-intencionado pode hospedar um sistema com um nome de rótulo único fora do limite de uma organização e, devido à devolução de DNS, pode obter com êxito que um cliente DNS do Windows se conecte a ele como se fosse interno ao limite organizacional. Por exemplo, se o sufixo DNS de uma empresa estiver corp.contoso.co.us e for feita uma tentativa de resolver um nome de host não qualificado de "Rótulo único", o resolvedor de DNS tentará Single-Label.corp.contoso.co.us. Se isso não for encontrado, ele tentará, via devolução de DNS, resolver Single-label.contoso.co.us. Se isso não for encontrado, ele tentará resolver Single-label.co.us, que está fora do domínio contoso.co.us.

Quais são as implicações para as consultas que saem do limite organizacional?
As implicações variam dependendo da consulta que escapa do limite da organização.

Todas as consultas exporiam os endereços IP internos. Os clientes de rede podem trocar credenciais com o servidor mal-intencionado. Caso a consulta seja para um servidor WPAD, proxy malicioso pode ser definido nas máquinas cliente.

Esta atualização altera meu comportamento atual de devolução de DNS?
Sim. A atualização verifica qual é o domínio do cliente Windows e limita as consultas DNS a esse domínio. Para obter mais informações e exemplos da alteração no comportamento de devolução de DNS, consulte o Artigo 957579 da Base de Dados de Conhecimento Microsoft.

Há uma alteração na experiência do usuário após a instalação desta atualização?
Sim. Depois que a atualização for instalada, o resolvedor de DNS só executará a devolução para um nível com base nas configurações de domínio do cliente Windows, potencialmente interrompendo quaisquer aplicativos ou configurações que dependam desse comportamento. Para obter mais informações sobre a alteração no comportamento de devolução de DNS, consulte o Artigo 957579 da Base de Dados de Conhecimento Microsoft.

Este é um comunicado de segurança sobre uma atualização não relacionada à segurança. Isso não é uma contradição?
Os avisos de segurança abordam alterações de segurança que podem não exigir um boletim de segurança, mas ainda podem afetar a segurança geral do cliente. Os avisos de segurança são uma maneira de a Microsoft comunicar informações relacionadas à segurança aos clientes sobre problemas que podem não ser classificados como vulnerabilidades e podem não exigir um boletim de segurança ou sobre problemas para os quais nenhum boletim de segurança foi lançado. Nesse caso, estamos comunicando a disponibilidade de uma atualização que afeta sua capacidade de executar atualizações subsequentes, incluindo atualizações de segurança. Portanto, este comunicado não aborda uma vulnerabilidade de segurança específica; em vez disso, ele aborda sua segurança geral.

Como esta atualização é oferecida?
Essas atualizações estão disponíveis no Centro de Download da Microsoft. Os links diretos para as atualizações de software afetado específico estão listados na tabela Softwares afetados na seção Visão geral . Para obter mais informações sobre a atualização e as alterações de comportamento, consulte o artigo 957579 da Base de Dados de Conhecimento Microsoft.

Esta atualização é distribuída na Atualização Automática?
Não. Essas atualizações não são distribuídas pelo mecanismo de Atualização Automática. As atualizações só estão disponíveis no Centro de Download da Microsoft. Os links diretos para as atualizações de software afetado específico estão listados na tabela Softwares afetados na seção Visão geral .

Por que esta não é uma atualização de segurança anunciada em um boletim de segurança?
Esse é um problema de configuração. A devolução de DNS está funcionando como pretendido e alguns clientes podem depender da devolução de DNS para alcançar legitimamente ativos fora de seus limites organizacionais e tratá-los como ativos internos.

Por que esta atualização é oferecida em um comunicado de segurança?
Os clientes podem não saber que os clientes Windows em seu ambiente estão usando a devolução. A devolução pode permitir que os clientes tratem sistemas fora de seus limites como ativos internos e, portanto, é provável que desistam de credenciais ou se exponham a vulnerabilidades do tipo divulgação de informações.

Ações sugeridas

Soluções Alternativas

A Microsoft testou as seguintes soluções alternativas. Embora essas soluções alternativas não corrijam o risco subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é identificada na seção a seguir.

Desativar devolução de DNS

Para desativar a devolução automática de DNS, salve o seguinte em um arquivo com um arquivo . REG e, em seguida, execute regedit.exe nome de arquivo> /s <de um prompt de comando elevado ou administrativo:

Observação Consulte o artigo do TechNet, UseDomainNameDevolution, para obter mais informações sobre o valor do Registro UseDomainNameDevolution.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000

Para que as alterações entrem em vigor, o serviço de cliente DNS deve ser interrompido e reiniciado. Isso pode ser feito a partir de um prompt de comando elevado ou administrativo usando o seguinte comando:

net stop dnscache & net start dnscache

Impacto da solução alternativa: O resolvedor de DNS não executará a devolução, potencialmente interrompendo quaisquer aplicativos ou configurações que dependam desse comportamento. Os aplicativos que executam sua própria forma de devolução não são afetados por essa configuração.

Configurar uma lista de pesquisa de sufixos de domínio

Para criar uma lista de pesquisa de sufixos de domínio, salve o seguinte em um arquivo com um arquivo . REG e, em seguida, execute regedit.exe nome de arquivo> /s <de um prompt de comando elevado ou administrativo:

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">

Observação O Windows Server 2003 inclui a capacidade de distribuir a lista de pesquisa de sufixos de domínio por meio da Diretiva de Grupo. Para obter mais informações, consulte 294785 da Base de Dados de Conhecimento Microsoft na seção Lista de Pesquisa de Sufixos DNS.

Impacto da solução alternativa: Quando uma lista de pesquisa de sufixos de domínio é configurada em sistemas cliente, somente essa lista de sufixos é usada em consultas DNS. O sufixo DNS primário e quaisquer sufixos DNS específicos da conexão não são usados. O resolvedor de DNS não executará a devolução, potencialmente interrompendo quaisquer aplicativos ou configurações que dependam desse comportamento.

Outras Informações

Recursos:

  • Você pode fornecer comentários preenchendo o formulário visitando o seguinte site.
  • Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte o site de Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site de suporte internacional.
  • O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Aviso de Isenção de Responsabilidade:

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões:

  • V1.0 (9 de junho de 2009): Comunicado publicado.

Construído em 2014-04-18T13:49:36Z-07:00