포스팅 내용

국내외 보안동향

Microsoft, NXNSAttack 공격에 대한 조치 방안 공개

Microsoft issues mitigation for the NXNSAttack DNS DDoS attack


마이크로소프트가 DNS 서버에 존재하는 NXNSAttack 취약점으로 인한 피해를 완화하기 위해 보안 권고를 발행했습니다. 


해당 취약점을 해커가 악용할 경우 단일 DNS 요청을 증폭하여 DNS 서버에 DDoS 공격을 수행할 수 있습니다.


이스라엘에 위치한 텔아비브 대학교 및 Interdisciplinary 센터 연구원들은 논문을 통해 NXNSAttack이라는 이름의 새로운 취약점을 밝혀냈습니다. 


해당 취약점을 악용하면 재귀 리졸버 및 권한 서버를 대상으로 치명적인 공격을 수행할 수 있습니다. 


공격자가 공격자 제어 서버 도메인의 재귀 서버에 DNS 요청을 전송함으로써 NXNSAttack 취약점 공격이 작동하며, 재귀 서버는 요청을 리졸브할 권한이 없으므로 공격자 도메인의 권한 DNS 서버에 쿼리를 전송합니다. 


권한 서버는 공격자 제어 하에 있으며 리졸버가 쿼리하는 서버 목록을 포함해 응답합니다. 이때 해당 서버 리스트는 DNS DDoS 공격의 타깃이 될 수 있습니다. 


다수의 요청이 이런 식으로 생성될 경우 공격자는 증폭을 통해 권한 DNS 서버 대상 DDoS를 발생시키며 응답하지 않도록 만듭니다. 


Nic.cz 연구팀은 블로그를 통해 NXNSAttack 공격 과정을 아래 그림과 같이 설명했습니다.



NXNSAttack 공격 흐름

<이미지 출처: Nic.cz>​



Nic.cz 연구원들에 따르면, NXNSAttack 공격은 재귀 리졸버에 의해 교환된 패킷의 수를 1620배 이상 증폭시키는 요소가 되어 공격에 이용됩니다. 


해당 취약점으로 인한 피해를 완화하기 위해 DNS 서버 개발자들은 보안 권고 및 소프트웨어 패치를 발행했습니다. 현재 공개된 보안 권고는 다음과 같습니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/microsoft-issues-mitigation-for-the-nxnsattack-dns-ddos-attack/>



NXNSAttack 공격에 대한 추가 정보는 NXNSAttack.com에서 확인 가능합니다. 



Windows DNS 서버에서의 NXNSAttack 공격 완화


마이크로소프트는 'ADV200009 | Windows DNS 서버 서비스 거부 취약점' 보안 권고를 통해 NXNSAttack DNS 공격 완화 조치를 공개했습니다. 


보안 권고에는 아래와 같은 내용이 포함됩니다.


해당 취약점 익스플로잇에 성공하면 공격자는 DNS 서버에 무응답 상태를 발생시킬 수 있습니다.


취약점을 성공적으로 악용하기 위해 공격자는 최소 하나 이상의 클라이언트와 도메인에 대한 접근 권한이 필요합니다. 


해당 도메인에는 다량의 참고 레코드가 포함되며 글루 레코드는 포함되지 않습니다. 또한 외부 피해자 하위 도메인을 참조합니다.

 

공격자 클라이언트 이름을 리졸브하는 동한 발견된 각각의 참조 레코드에 대해 리졸버가 피해자 도메인에 접근합니다. 


이러한 작업을 통해 재귀 리졸버 및 사용자 권한 DNS 간 다량의 통신 트래픽을 생성함으로써 DDoS 공격을 발생시킵니다.


마이크로소프트는 취약점 완화를 위해 관리자들에게 Set-DnsServerResponseRateLimiting 파워셸 cmdlet을 활용해 응답 비율 제한(response rate limiting, RRL)을 활성화할 것을 조언했습니다. 


RRL은 DNS 서버에서 사용하는 구성 옵션으로 DNS 증폭을 통한 DDoS 공격을 예방합니다. 


해당 옵션을 활성화하면 DNS 서버가 단일 DNS 클라이언트에 1초 이내 전송할 응답 및 오류의 수를 제한합니다. RRL 설정을 확인하려면 Get-DnsServerResponseRateLimiting 파워셸 명령을 실행하면 됩니다. 



Get-DnsServerResponseRateLimiting 명령

<이미지 출처: https://www.bleepingcomputer.com/news/security/microsoft-issues-mitigation-for-the-nxnsattack-dns-ddos-attack/> 



위 기본 설정에서 볼 수 있듯이 Windows DNS 서버는 1초 내 클라이언트에 5회만 응답할 것입니다. 


설정된 응답 횟수를 증가 또는 감소시키기 위해 Set-DnsServerResponseRateLimiting 파워셸 명령을 사용할 수 있습니다. 


예를 들어 1초 내 2회로 응답 횟수를 감소시키기 위해서는 아래와 같은 명령을 사용합니다. 



Set-DnsServerResponseRateLimiting -ResponsesPerSec 2



Set-DnsServerResponseRateLimiting 명령

<이미지 출처: https://www.bleepingcomputer.com/news/security/microsoft-issues-mitigation-for-the-nxnsattack-dns-ddos-attack/> 



RRL 기능을 사용함으로써 Windows DNS 서버가 또 다른 클라이언트를 타깃으로 DNS 증폭 공격을 하는데 이용되는 것을 예방할 수 있고 서버 그 자체도 보호할 수 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/microsoft-issues-mitigation-for-the-nxnsattack-dns-ddos-attack/

https://www.zdnet.com/article/nxnsattack-technique-can-be-abused-for-large-scale-ddos-attacks/

https://www.securityweek.com/nxnsattack-new-dns-vulnerability-allows-big-ddos-attacks

티스토리 방명록 작성
name password homepage