Novas falhas reativam ataques de envenenamento de cache de DNS
Um grupo de acadêmicos da Universidade da Califórnia e da Universidade Tsinghua descobriu uma série de falhas críticas de segurança que podem levar a um renascimento dos ataques de envenenamento de cache DNS.
O ataque chamado de “SAD DNS” (abreviação de Side-channel AttackeD DNS), permite que um agente malicioso execute um ataque redirecionando qualquer tráfego originalmente destinado a um domínio específico, para um servidor sob seu controle, permitindo-lhe escutar e adulterar as comunicações.
foto
Rastreado como CVE-2020-25705, os resultados foram apresentados na Conferência ACM sobre Segurança de Computadores e Comunicações (CCS ’20) realizada esta semana.
A falha afeta os sistemas operacionais Linux 3.18-5.10, Windows Server 2019 (versão 1809) e superior, macOS 10.15 e superior e FreeBSD 12.1.0 e superior.
Um novo ataque de canal lateral
O ataque SAD DNS funciona fazendo uso de uma máquina comprometida em qualquer rede que seja capaz de acionar uma solicitação de um encaminhador ou “resolvedor DNS”, como uma rede sem fio pública gerenciada por um roteador sem fio em um café, um shopping center ou um aeroporto.
Em seguida, ele aproveita um canal lateral na pilha de protocolo de rede para verificar e descobrir quais portas de origem são usadas para iniciar uma consulta DNS e, subsequentemente, injetar um grande número de respostas DNS falsificadas por força bruta dos TxIDs.
Mais especificamente, os pesquisadores usaram um canal usado nas solicitações de nome de domínio para restringir o número exato da porta de origem, enviando pacotes UDP falsificados, cada um com endereços IP diferentes, para um servidor vítima e inferir se as sondagens falsificadas atingiram a porta de origem correta com base nas respostas ICMP recebidas (ou na falta delas).
Este método de varredura de porta, atinge uma velocidade de varredura de 1.000 portas por segundo, levando cumulativamente um pouco mais de 60 segundos para enumerar todo o intervalo de portas que consiste em 65536 portas. Com a porta de origem assim des-randomizada, tudo o que um invasor precisa fazer é inserir um endereço IP malicioso para redirecionar o tráfego do site e executar um ataque de envenenamento de cache DNS.
Os termos técnicos do ataque são bastante extensos, mas os investigadores deixaram um exemplo da explicação e funcionamento do ataque em uma página dedicada ao ataque. Além disso, para quem pretenda analisar se os seus servidores DNS estão vulneráveis a este ataque, poderá acessar a este link (https://www.cs.ucr.edu/~zhiyunq/SADDNS.html)
Comentário do especialista
Frederico Freitas, CISSP é Solutions Sales Engineer na Add Value e especialista em cibersegurança.
Este ataque coloca ainda mais pressão sobre os administradores de infraestrutura de rede, lembrando que o DNS por si só já é uma tecnologia que não foi criada originalmente para ter em mente a privacidade e segurança, mas sim a performance. O Uso de tecnologias de detecção de intrusão, DNSSEC e principalmente uma varredura periódica nos dispositivos de DNS, podem auxiliar na mitigação e visibilidade desta vulnerabilidade.
—
Fonte: https://www.cs.ucr.edu/~zhiyunq/SADDNS.html
publicado em 13-11-2020
