警告：微软Active Directory域易受DNS欺骗攻击，Akamai发出警告

快速导读：Akamai安全研究人员发现了一系列可以用于欺骗DNS记录、破坏微软Active Directory并窃取敏感数据的攻击。这些攻击不需要任何凭据，并且可以针对运行默认配置的微软动态主机配置协议（DHCP）服务器执行。Akamai已向微软报告了这些问题，但该公司没有计划修复这个问题。虽然目前尚未观察到任何服务器受到攻击，但很多组织可能存在漏洞。Akamai还提供了一个工具，帮助系统管理员检测有风险的配置。

DHCP DNS欺骗攻击

Akamai安全研究人员发现了微软Active Directory中的一个漏洞，可以用于DNS欺骗攻击。这些攻击可以在不需要任何凭据的情况下进行，并且可能破坏运行默认配置的微软动态主机配置协议（DHCP）服务器的安全。研究人员已向微软报告了这个问题，但该公司尚未表示有计划解决这个问题。尽管目前尚未针对任何服务器进行攻击，但很多组织可能存在漏洞。Akamai已开发了一个工具，帮助系统管理员识别有风险的配置。

攻击的影响和潜力

Akamai发现的DNS欺骗攻击可能破坏微软Active Directory并窃取敏感数据。这些攻击利用了DHCP DNS动态更新功能，该功能不需要DHCP客户端进行任何身份验证。这使得攻击者可以使用DHCP服务器对DNS服务器进行身份验证，从而无需任何凭据即可访问ADIDNS区域。与以前的ADIDNS欺骗攻击相比，这些攻击对更广泛的攻击者来说更容易进行，因为它们不需要有效的域凭据。Akamai还发现了DNSUpdateProxy功能中的一个潜在错误，该错误可能允许经过身份验证的用户“窃取”由DNSUpdateProxy组成员创建的DNS记录。研究人员建议禁用DHCP DNS动态更新，并避免使用DNSUpdateProxy。

所需行动和建议

Akamai建议系统管理员如果尚未禁用DHCP DNS动态更新，应立即禁用。他们还建议在所有DHCP服务器上使用相同的DNS凭据，并避免使用DNSUpdateProxy。研究人员已提供了一个工具，帮助系统管理员识别有风险的配置。微软尚未对所报告的问题做出回应。