Reproduzo neste post artigo de Nelson Brito (nbrito@sekure.org), colega de trabalho e grande especialista e pesquisador em segurança, sobre a vulnerabilidade do DNS Poisoning. O Nelson não apenas descreve com perfeição a vulnerabilidade como aborda pontos curiosos.
Há uma nova vulnerabilidade que permitem aos hackers manipularem as entradas de DNS através de DNS Cache Poisoning, possibilitando a *manipulação de tradução de nome para endereço IP. A muito tempo não há uma vulnerabilidade multi-plataforma como esta que cause tanta comoção no cenário de segurança, pois esta vulnerabilidade afeta todas as implementações de DNS. Tanta comoção se explica, também, por um segundo fator. O pesquisador que descobriu a vulnerabilidade, Dan Kaminsky (http://www.doxpara.com/?p=1162), *trabalhou em segredo com vários fabricantes - entre eles Microsoft, Cisco, ISC, etc - para a correção. Só em 7 de Julho de 2008 a informação de uma vulnerabilidade de DNS Cache Poisoning veio a público.
Devido a gravidade da descoberta, ele solicitou que a comunidade de segurança não fizesse nenhuma especulação em público, para dar tempo às empresas e órgãos (todos que forem afetados) de aplicarem a correção. Esta solicitação foi interpretada como um desafio por outro pesquisadores. A princípio, Dan liberaria detalhes somente na Blackhat de Agosto próximo, (http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Kaminsky), porém um hacker alemão, chamado Halvar Flake, liberou algumas "especulações corretas" sobre o funcionamento e detalhamento da vulnerabilidade em um BLOG. Estas informações ficaram poucos minutos disponíveis na Internet, pois o POST foi retirado do BLOG. Porém estes poucos minutos foram o suficiente para que a informação se propagasse pela Internet.
Ao final do dia 23 de Julho, o pesquisador HD Moore (autor do Metasploit Framework) e o hacker Druid, lançaram um exploit funcional para este vulnerabilidade (http://www.caughq.org/exploits/CAU-EX-2008-0002.txt). Uma curiosidade é que um dos desenvolvedores do exploit (HD Moore) foi vítima de sua própria criação, pois na manhã do dia 29 de Julho a empresa BreakingPoint, onde HD Moore trabalha, teve seu tráfego redirecionado para uma página falsa do Google (http://www.networkworld.com/news/2008/073008-dns-attack-writer-a-victim.html).
Apesar da preocupação inicial gerada pelo alto índice de automação do ataque, uma análise superficial pode sugerir alguma dificuldade na exploração de servidores DNSs bem configurados, aqueles onde usuários externos não tenham capacidade de iniciar consultas DNS. Ocorre que tal análise é falha pois todos os serviços dependem, em maior ou menor grau, do serviço DNS. Qualquer serviço, portanto, pode se tornar "side channel" para o ataque em questão. Cito, em particular, o serviço de e-mail. Neste caso o atacante pode gerar as consultas DNSs necessárias à exploração da vulnerabilidade através do envio de mensagens a contas inexistentes no domínio alvo. Ao receber estas mensagens o servidor de e-mail verificará a inexistência da conta de destino e realizará consultas DNS pelo MX do domínio do atacante de forma a devolver as mensagens ao remetente e gerando, assim, os pacotes necessários ao ataque. As configurações de Firewalls e NATs devem ser verificadas de forma a preservarem o caráter randômico da porta de origem.
Fontes da Web com mais informações
X-Force Database & MSS GTOC AlertCom
http://www.iss.net/threats/298.html
https://webapp.iss.net/gtoc/index.html
http://blogs.iss.net/archive/dnsnat.html
Original Release
http://www.caughq.org/exploits/CAU-EX-2008-0002.txt
Milw0rm Release
http://milw0rm.com/exploits/6122
Metasploit Framework email list archive
http://spool.metasploit.com/pipermail/framework/2008-July/date.html#3528
*List of vulnerable ISPs (older)
http://www.hackerfactor.com/blog/index.php?/archives/204-Poor-DNS.html
NANOG email list archive
The postings on the subject to this list are well worth reading.
http://www.merit.edu/mail.archives/nanog/index.html#09778
Media / Blogs
http://blogs.zdnet.com/security/?p=1545
http://blog.wired.com/27bstroke6/2008/07/dns-exploit-in.html
http://www.circleid.com/posts/87233_dns_attack_code_published/
http://it.slashdot.org/it/08/07/23/231254.shtml
http://www.informationweek.com/blog/main/archives/2008/07/dns_poisoning_v.html
Online DNS testers for testing if one's dns is vulnerable to exploitation
https://www.dns-oarc.net
http://www.doxpara.com
Nenhum comentário:
Postar um comentário