• Artigo

Assessoria de Segurança

Comunicado de Segurança da Microsoft 971888

Atualização para devolução de DNS

Publicado em: 9 de junho de 2009

Versão: 1.0

A Microsoft está anunciando a disponibilidade de uma atualização para a devolução de DNS que pode ajudar os clientes a manter seus sistemas protegidos. Os clientes cujo nome de domínio tenha três ou mais rótulos, como "contoso.co.us", ou que não tenham uma lista de sufixos DNS configurada, ou para os quais os seguintes fatores atenuantes não se apliquem, podem inadvertidamente permitir que os sistemas clientes tratem sistemas fora do limite organizacional como se fossem internos ao limite da organização.

Fatores atenuantes:

  • Os clientes que aderiram a um domínio e têm uma lista de pesquisa de sufixos DNS configurada no seu sistema não correm o risco de tratar inadvertidamente sistemas externos como se fossem internos. A Microsoft incentiva todos os clientes corporativos a definir listas de pesquisa de sufixos DNS em sistemas cliente para garantir que todas as consultas DNS permaneçam dentro dos limites organizacionais.
  • Na maioria dos casos, os usuários domésticos que não são membros de um domínio não usam a devolução de DNS e, portanto, não estão expostos a esse risco. Os usuários domésticos que não são membros de um domínio, mas configuraram um sufixo DNS primário, no entanto, usam a devolução de DNS e correm o risco de tratar inadvertidamente sistemas externos como se fossem internos.
  • Os clientes cujo nome de domínio DNS consiste em dois rótulos não estão expostos a esse risco. Um exemplo de um cliente que não é afetado é contoso.com ou fabrikam.gov, onde "contoso" e "fabrikam" são nomes de domínio registrados do cliente em seus respetivos domínios de nível superior (TLDs) ".com" e ".gov".

Informações Gerais

Descrição geral

Objetivo do Aviso: Prestar esclarecimentos e notificar a disponibilidade de uma atualização não relacionada com segurança que possa ajudar os clientes a manter os seus sistemas protegidos.

Status do comunicado: Artigo da Base de Dados de Conhecimento Microsoft e atualizações associadas foram lançados.

Recomendação: Revise a base de dados de conhecimento referenciada e aplique as atualizações apropriadas.

Referências Identificação
Artigo da Base de Dados de Conhecimento Microsoft 957579

Este comunicado descreve o seguinte software.

Software afetado
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 e Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados em Itanium e Windows Server 2008 para sistemas baseados em Itanium Service Pack 2

Perguntas Mais Frequentes

Qual é o âmbito do aconselhamento?
Este comunicado fornece notificação de que estão disponíveis atualizações que ajudam a definir um limite organizacional para sistemas que ingressaram no domínio, mas não têm uma lista de sufixos DNS configurada. As atualizações estão disponíveis para o software listado na seção Visão geral .

O que é um domínio de topo (TLD)?
O domínio de topo (TLD) é a última parte de um nome de domínio da Internet. Estas são as letras que seguem o ponto final de qualquer nome de domínio. Por exemplo, no nome de domínio wpad.western.corp.contoso.co.us, o TLD é ".us". Os TLDs podem ser divididos principalmente em dois tipos: código de país e genérico. Os TLD com código de país são abreviaturas de duas letras para cada país. Neste exemplo, .us é para os Estados Unidos. TLDs genéricos são as abreviaturas de três (ou maiores) letras mais tradicionalmente reconhecíveis, como .com, .net, .org, etc. Para obter uma lista completa de todos os TLDs disponíveis, consulte a lista a seguir em IANA.

O que é um sufixo DNS primário (PDS)?
Este é o nome de domínio anexado à direita do nome de host de rótulo único de um computador. Um nome de domínio totalmente qualificado (FQDN) pode ser definido como <nome> de host.<sufixo> DNS primário. Por padrão, a parte do sufixo DNS primário do FQDN de um computador é igual ao nome do domínio do Ative Directory ao qual o computador está associado. No entanto, o PDS de um computador pode ser diferente do domínio DNS ao qual está associado quando configurado através da caixa de diálogo Propriedades de O Meu Computador.

O que é um domínio de segundo nível (SLD)?
Um domínio de segundo nível (SLD) é um domínio localizado diretamente "abaixo" ou à esquerda do TLD. No exemplo anterior, wpad.western.corp.contoso.co.us, o SLD é ".co". O registo mais comum de SLD está sob o código de país TLD. Os Estados Unidos usam principalmente o SLD para o registro estadual dos EUA, como ".co.us" para o estado do Colorado, por exemplo. SLDs fora dos EUA geralmente reutilizam nomes comuns de TLDs, como ".com.sg".

O que faz a funcionalidade de devolução de DNS?
A devolução é um recurso de cliente DNS do Windows. A devolução é o processo pelo qual os clientes DNS do Windows resolvem consultas DNS para nomes de host não qualificados de rótulo único. As consultas são construídas anexando PDS ao nome do host. A consulta é repetida removendo sistematicamente o rótulo mais à esquerda no PDS até que o nome do host + PDS restante seja resolvido ou apenas dois rótulos permaneçam no PDS removido. Por exemplo, os clientes Windows que procuram "Rótulo único" no domínio western.corp.contoso.co.us consultarão progressivamente Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us e, em seguida, Single-label.co.us até encontrar um sistema que resolva. Este processo é designado por devolução. Para obter informações adicionais sobre o serviço de cliente DNS e a devolução, consulte a seção Resolução de nomes para nomes de domínio não qualificados de rótulo único no artigo do TechNet, Fundamentos de TCP/IP para Windows, Capítulo 9 - Suporte do Windows para DNS.

O que causa esse risco?
Um usuário mal-intencionado pode hospedar um sistema com um nome de rótulo único fora do limite de uma organização e, devido à devolução do DNS, pode obter com êxito que um cliente DNS do Windows se conecte a ele como se fosse interno ao limite organizacional. Por exemplo, se o sufixo DNS de uma empresa for corp.contoso.co.us e for feita uma tentativa de resolver um nome de host não qualificado de "Single-Label", o resolvedor de DNS tentará Single-Label.corp.contoso.co.us. Se isso não for encontrado, ele tentará, via devolução de DNS, resolver Single-label.contoso.co.us. Se isso não for encontrado, ele tentará resolver Single-label.co.us, que está fora do domínio contoso.co.us.

Quais são as implicações para as consultas que saem dos limites organizacionais?
As implicações variam dependendo da consulta que escapa do limite da organização.

Todas as consultas exporiam os endereços IP internos. Os clientes de rede podem trocar credenciais com o servidor mal-intencionado. Caso a consulta seja para um servidor WPAD, proxy mal-intencionado pode ser definido nas máquinas cliente.

Esta atualização altera meu comportamento atual de devolução de DNS?
Sim. A atualização verifica qual é o domínio do cliente Windows e limita as consultas DNS a esse domínio. Para obter mais informações e exemplos da alteração no comportamento de devolução de DNS, consulte o artigo 957579 da Base de Dados de Conhecimento Microsoft.

Há uma mudança na experiência do usuário após a instalação desta atualização?
Sim. Depois que a atualização for instalada, o resolvedor de DNS só executará a devolução para um nível baseado nas configurações de domínio do cliente Windows, potencialmente quebrando quaisquer aplicativos ou configurações que dependam desse comportamento. Para obter mais informações sobre a alteração no comportamento de devolução de DNS, consulte o artigo 957579 da Base de Dados de Conhecimento Microsoft.

Este é um comunicado de segurança sobre uma atualização não relacionada à segurança. Não é uma contradição?
Os avisos de segurança abordam alterações de segurança que podem não exigir um boletim de segurança, mas ainda podem afetar a segurança geral do cliente. Os avisos de segurança são uma forma de a Microsoft comunicar informações relacionadas com a segurança aos clientes sobre problemas que podem não ser classificados como vulnerabilidades e que podem não exigir um boletim de segurança, ou sobre problemas para os quais não foi lançado nenhum boletim de segurança. Neste caso, estamos a comunicar a disponibilidade de uma atualização que afeta a sua capacidade de efetuar atualizações subsequentes, incluindo atualizações de segurança. Portanto, este comunicado não aborda uma vulnerabilidade de segurança específica; em vez disso, aborda a sua segurança geral.

Como esta atualização é oferecida?
Essas atualizações estão disponíveis no Centro de Download da Microsoft. Os links diretos para as atualizações de softwares afetados específicos estão listados na tabela Softwares afetados na seção Visão geral . Para obter mais informações sobre a atualização e as alterações de comportamento, consulte o artigo 957579 da Base de Dados de Conhecimento Microsoft.

Esta atualização é distribuída na Atualização Automática?
N.º Essas atualizações não são distribuídas pelo mecanismo de Atualização Automática. As atualizações só estão disponíveis no Centro de Download da Microsoft. Os links diretos para as atualizações de softwares afetados específicos estão listados na tabela Softwares afetados na seção Visão geral .

Porque é que esta não é uma atualização de segurança anunciada num boletim de segurança?
Trata-se de um problema de configuração. A devolução de DNS está funcionando como pretendido e alguns clientes podem depender da devolução de DNS para alcançar legitimamente ativos fora de seus limites organizacionais e tratá-los como ativos internos.

Por que essa atualização é oferecida em um comunicado de segurança?
Os clientes podem não saber que os clientes Windows em seu ambiente estão usando a devolução. A descentralização pode permitir que os clientes tratem sistemas fora de seus limites como ativos internos e, portanto, é provável que desistam de credenciais ou se exponham a vulnerabilidades do tipo divulgação de informações.

Ações Sugeridas

Soluções

A Microsoft testou as seguintes soluções alternativas. Embora essas soluções alternativas não corrijam o risco subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é identificada na seção a seguir.

Desativar devolução de DNS

Para desativar a devolução automática de DNS, salve o seguinte em um arquivo com um arquivo . REG e execute regedit.exe nome de arquivo> /s <a partir de um prompt de comando elevado ou administrativo:

Observação Consulte o artigo do TechNet, UseDomainNameDevolution, para obter mais informações sobre o valor do Registro UseDomainNameDevolution.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000

Para que as alterações entrem em vigor, o serviço de cliente DNS deve ser interrompido e reiniciado. Isso pode ser feito a partir de um prompt de comando elevado ou administrativo usando o seguinte comando:

net stop dnscache & net start dnscache

Impacto da solução alternativa: O resolvedor de DNS não executará a devolução, potencialmente interrompendo quaisquer aplicativos ou configurações que dependam desse comportamento. Os aplicativos que executam sua própria forma de devolução não são afetados por essa configuração.

Configurar uma lista de pesquisa de sufixos de domínio

Para criar uma lista de pesquisa de sufixos de domínio, salve o seguinte em um arquivo com um arquivo . REG e execute regedit.exe nome de arquivo> /s <a partir de um prompt de comando elevado ou administrativo:

Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">

Observação O Windows Server 2003 inclui a capacidade de distribuir a lista de pesquisa de sufixos de domínio por meio da Diretiva de Grupo. Para obter mais informações, consulte 294785 da Base de Dados de Conhecimento Microsoft na seção Lista de Pesquisa de Sufixos DNS.

Impacto da solução alternativa: Quando uma lista de pesquisa de sufixos de domínio é configurada em sistemas cliente, apenas essa lista de sufixos é usada em consultas DNS. O sufixo DNS primário e quaisquer sufixos DNS específicos da conexão não são usados. O resolvedor de DNS não executará a devolução, potencialmente interrompendo quaisquer aplicativos ou configurações que dependam desse comportamento.

Outras informações

Recursos:

  • Você pode fornecer comentários preenchendo o formulário visitando o seguinte site.
  • Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte o site de Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site de suporte internacional.
  • O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de responsabilidade:

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões:

  • V1.0 (9 de junho de 2009): Comunicado publicado.

Construído em 2014-04-18T13:49:36Z-07:00