Falla nel server DNS di Windows: come ridurre i rischi

Diverse aziende attive nel campo della sicurezza informatica, stanno mettendo in guardia circa la diffusione di worm in grado di sfruttare una falla presente nel servizio DNS Microsoft attivabile in Windows 2000 Server e Windows Server 2003.
A rischio sono i soli sistemi server che abbiano attiva la gestione remota del server DNS tramite interfaccia RPC.
Gli attacchi andati a segno sono comunque ad oggi assai limitati in numero poiché, di solito, il componente vulnerabile non è direttamente esposto sulla rete Internet permettendo tutti i tentativi di connessione in ingresso.
Il problema di sicurezza risiede infatti solo nell’interfaccia RPC del DNS di Windows: la porta 53, necessaria per le normali interrogazioni sul server DNS, non presenta infatti alcuna problematica. L’interfaccia RPC utilizza invece, dinamicamente, una porta nell’intervallo compreso tra 1024 e 5000.
Per evitare rischi, il firewall esterno dovrebbe bloccare per default tutte le porte permettendo soltanto il traffico veicolato attraverso la porta 53 (UDP ed eventualmente TCP). Per quanto riguarda attacchi provenienti dalla stessa LAN, invece, è necessario ricorrere a regole firewall “host-based”. Windows Server 2003 offre questa possibilità: si può quindi consentire le comunicazioni sulla porta 53 mentre attivare quelle in ingresso sulle porte 1024-5000 soltanto per un ristretto numero di postazioni, dalle quali si intende gestire in modo remoto il DNS.
Nel bollettino pubblicato online da Microsoft (ved. questa pagina), si suggerisce di operare una modifica sul registro di sistema di Windows. Si tenga presente che in Windows Server 2003 una gestione delle porte attraverso regole “host-based” già consente di prevenire rischi. Nel caso di Windows 2000 Server, invece, dato che il sistema opperativo non consente di attivare regole firewall, il file di registro proposto da Microsoft permetterà di disattivare completamente la funzione di gestione remota del DNS. Per attivare la modifica, è sufficiente creare un file di testo con estensione .REG sul disco fisso, copiarvi all’interno le righe seguenti e farvi doppio clic:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters]
"RpcProtocol"=dword:00000004
Qualora, successivamente, si volesse annullare la modifica, si dovrà avviare l’Editor del registro di configurazione di Windows, portarsi in corrispondenza della chiave HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesDNSParameters quindi eliminare la voce RpcProtocol.
E’ bene rimarcare come non siano interessate dal problema tutte le versioni “client” di Windows così come i sistemi server che non usino il servizio DNS.
Non è ancora certo se Microsoft intende rilasciare una patch “out-of-cycle” ossia in anticipo rispetto al prossimo 8 Maggio, secondo Martedì del mese e giorno vocato al rilascio degli aggiornamenti di sicurezza per Windows.