<HTML dir=ltr><HEAD><TITLE>Re: [dns-operations] "Cybercrooks exploiting new Windows DNS flaw"</TITLE>
<META http-equiv=Content-Type content="text/html; charset=unicode">
<META content="MSHTML 6.00.6000.16414" name=GENERATOR></HEAD>
<BODY>
<DIV id=idOWAReplyText2417 dir=ltr>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>Let me clarify some points.  First, this is no Slammer.  MSDE was commonly infected by Slammer, since most people don't know they are running MSDE so they did not patch it (and you found MSDE on both servers and clients).  This allowed Slammer to spread between networks.  I have yet to meet someone running a DNS server on their laptop (unless they are doing some sort of VMware, test lab, etc setup).  But either way, spreading via infected client computer is a very small risk (as compared to other nasties a computer can get when not behind the corporate content filter).  </FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>As for firewall rules.  My experience has shown that the external DNS servers might/might not be in the DMZ (depends on time/budget).  But the firewall rule is always UDP 53 inbound allow, drop everything else.  It goes without saying that there are also stateful packet inspection rules.  </FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>I am not a firewall expert, but I just don't see how you can trick a firewall into thinking a new TCP connection on ports 1024-5000 is related to a connection started on UDP 53 and should be allowed in.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>Regards,</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2>Adam Stasiniewicz</FONT></DIV></DIV>
<DIV dir=ltr><BR>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> Florian Weimer [mailto:fw@deneb.enyo.de]<BR><B>Sent:</B> Fri 4/13/2007 3:02 PM<BR><B>To:</B> Stasiniewicz, Adam<BR><B>Cc:</B> Paul Vixie; dns-operations@mail.oarc.isc.org<BR><B>Subject:</B> Re: [dns-operations] "Cybercrooks exploiting new Windows DNS flaw"<BR></FONT><BR></DIV>
<DIV>
<P><FONT size=2>* Adam Stasiniewicz:<BR><BR>> This exploit looks a bit over hyped.  Relatively speaking, the exploit<BR>> is no where near as bad as Code Red and equivalents.  Code Red for<BR>> instance (which used an exploit in IIS) could infect a web server over<BR>> TCP 80. <BR><BR>As long as it's not Slammer. 8-/ This time, it would be close to<BR>impossible to filter in the backbone.<BR><BR>> Since that port is needed to be open to allow visitors to the<BR>> website, there would be no firewall filtering preventing exploitation.<BR>> But to be able to exploit this new vulnerability an attacker would<BR>> need to access the Windows RPC ports (1024-5000) which firewalls<BR>> located at network perimeters should be blocking.<BR><BR>It's not that simple.  The resolver component opens a UDP port in this<BR>range, so you can't simply block all of them.<BR><BR>And if your firewall is stateful, but too permissive, you might be<BR>able to play games with SIP and things like that.<BR><BR>> Simply having access via the standard DNS ports (TCP/UDP 53) is not<BR>> enough.  Because of this, the scope of the attack is limited to<BR>> within LANs only.<BR><BR>I'm not sure if this is true.  DNS servers are often located in DMZs<BR>with more permissive filtering.  Therefore, I hesitate to make any<BR>claims about wormability or lack thereof.<BR></FONT></P></DIV></BODY></HTML>