DNS Poisoning
Posté : 13 juil. 2008, 16:59
Bonjour à tous,
Pour faire suite au topic 6 mois pour venir à bout d'une vulnérabilité mondiale DNS, voici quelques informations complémentaires qui ne sont guère rassurantes pour les entreprises :
DNS Poisoning, explication
Faille DNS qui fait courir un risque important au réseau à l'échelle mondiale. Les détails techniques seront dévoilés au mois d'août mais des informations sont déjà disponibles.
Il y a quelques jours nous vous relations l'union secréte et unique entre Microsoft, Cisco et SUN pour contrer une faille découverte dans le coeur même du fonctionnement d'Internet. L'importance de cette attaque réside dans le fait que la majorité des serveurs DNS du marché sont vulnérables lorsqu'ils interrogent eux même un autre serveur DNS (requête récursive). L'exploitation de cette faille permet de faire passer de fausses réponses DNS pour des réponses correctes ("DNS spoofing").
L'analyse des correctifs appliqués au serveur DNS BIND montre que la génération des éléments variables des paquets DNS a été modifiée pour les rendre plus aléatoires. L'attaque se base donc apparemment sur la possibilité de deviner les éléments aléatoires nécessaires pour créer une réponse au bon format (DNS ID et port source UDP) et cible les requêtes récursives. C'est donc lorsqu'un serveur DNS envoie une requête sur un domaine qu'il ne connait pas, qu'il est sensible à l'attaque.
Les postes clients n'envoient jamais de requêtes récursives en fonctionnement normal. Les serveurs DNS principaux (primaire, secondaire ...) ont été mis à jour, ce sont donc les serveurs DNS d'entreprises qui sont, à priori, les cibles principales. Le principe de l'attaque implique d'envoyer un nombre important de fausses réponses avec des éléments aléatoires différents, pour tenter de "deviner" le bon format de réponse. Cette fausse réponse doit arriver avant la réponse légitime (celle du serveur DNS interrogé) pour être prise en compte ("race condition"). Le nombre de valeurs possibles est important, toutefois, la multiplication des attaques fait que les chances de succès de cette attaque sont donc très importantes (paradoxe de l'anniversaire ("birthday attack").
"Dans tous les cas, confirme la société NETASQ, il est fortement recommandé de mettre à jour les serveurs DNS de l'entreprise dès que possible. Dès maintenant, mais vraisemblablement au mois d'août lorsque les détails techniques seront disponibles, une vague d'attaque est à prévoir. Les attaquants cibleront en priorité les serveurs DNS dans une version vulnérable. Mettre à jour les serveurs DNS de l'entreprise la protège contre l'attaque et lui permet d'éviter l'analyse des traces de l'attaque dans le Firewall."
Pas de vacances pour nos amis informaticiens ou alors la rentrée sera chargée
@+
Pour faire suite au topic 6 mois pour venir à bout d'une vulnérabilité mondiale DNS, voici quelques informations complémentaires qui ne sont guère rassurantes pour les entreprises :
DNS Poisoning, explication
Faille DNS qui fait courir un risque important au réseau à l'échelle mondiale. Les détails techniques seront dévoilés au mois d'août mais des informations sont déjà disponibles.
Il y a quelques jours nous vous relations l'union secréte et unique entre Microsoft, Cisco et SUN pour contrer une faille découverte dans le coeur même du fonctionnement d'Internet. L'importance de cette attaque réside dans le fait que la majorité des serveurs DNS du marché sont vulnérables lorsqu'ils interrogent eux même un autre serveur DNS (requête récursive). L'exploitation de cette faille permet de faire passer de fausses réponses DNS pour des réponses correctes ("DNS spoofing").
L'analyse des correctifs appliqués au serveur DNS BIND montre que la génération des éléments variables des paquets DNS a été modifiée pour les rendre plus aléatoires. L'attaque se base donc apparemment sur la possibilité de deviner les éléments aléatoires nécessaires pour créer une réponse au bon format (DNS ID et port source UDP) et cible les requêtes récursives. C'est donc lorsqu'un serveur DNS envoie une requête sur un domaine qu'il ne connait pas, qu'il est sensible à l'attaque.
Les postes clients n'envoient jamais de requêtes récursives en fonctionnement normal. Les serveurs DNS principaux (primaire, secondaire ...) ont été mis à jour, ce sont donc les serveurs DNS d'entreprises qui sont, à priori, les cibles principales. Le principe de l'attaque implique d'envoyer un nombre important de fausses réponses avec des éléments aléatoires différents, pour tenter de "deviner" le bon format de réponse. Cette fausse réponse doit arriver avant la réponse légitime (celle du serveur DNS interrogé) pour être prise en compte ("race condition"). Le nombre de valeurs possibles est important, toutefois, la multiplication des attaques fait que les chances de succès de cette attaque sont donc très importantes (paradoxe de l'anniversaire ("birthday attack").
"Dans tous les cas, confirme la société NETASQ, il est fortement recommandé de mettre à jour les serveurs DNS de l'entreprise dès que possible. Dès maintenant, mais vraisemblablement au mois d'août lorsque les détails techniques seront disponibles, une vague d'attaque est à prévoir. Les attaquants cibleront en priorité les serveurs DNS dans une version vulnérable. Mettre à jour les serveurs DNS de l'entreprise la protège contre l'attaque et lui permet d'éviter l'analyse des traces de l'attaque dans le Firewall."
Pas de vacances pour nos amis informaticiens ou alors la rentrée sera chargée
@+