DNS Recursivos Abertos
Postado por: Rodrigo C. Soave em Security, Artigos -
Imprima este post
Olá pessoal,
Como muitos devem ter acompanhado na midia eletrônica especializada há um sério problema nos servidores DNS, permitindo um atacante “tirar do ar” o serviço de DNS por meio do artifício chamado “envenenamento de cache (cache poisoning)”, que leva o servidor recursivo a armazenar informações forjadas. Tais informações podem ser usadas para comprometer a segurança de clientes que façam consultas a esse servidor.
Essa vulnerabilidade é considerada de alto risco pelos órgãos e CERT´s do mundo, sendo altamente recomendado mitigar esse problema pra quem tem BIND e o DNS da Microsoft, dentre outros servidores DNS.
Maiores informações podem ser encontradas no site do cert.br -> http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/#1
Segue também um link com o documento do Sr Dan Kaminski, uma das pessoas a alertar sobre essa vulnerabilidade e a disponibilizar o exploit. Essa apresentação foi a mesma utilizada por ele na conferência BLACKHAT, de segurança.
http://www.doxpara.com/DMK_BO2K8.ppt
Rodrigo
Popularity: 2% [?]
Leia também:
- Problemas com o Speedy? Mude o DNS!
- Cisco alerta para falha grave de segurança na versão 12.4 do IOS
- Monster.com chega ao Brasil!
- Serviços - MPLS
- Lab EIGRP para Troubleshooting
- História da Criptografia
- Falha em rede atinge conexão à internet no Estado de SP
- HP poderia comprar a Microsoft em um futuro próximo. Será?
- Segurança Básica do seu Router em 10 Passos
- Currículos que funcionam
- Uso de máscaras /31 em links ponto-a-ponto
- Usando o roteador / switch Cisco como um servidor DHCP
- Estão precisando de você!
- Obama poderá ter poderes para “desativar” a Internet
- Demanda por profissionais de rede está em alta e podem sobrar vagas!
8 de August de 2008 às 9:51 am
é BIND e não BIN… mas o verdadeiro problema é… IIS Microsoft???!?!?! não sabia que o IIS era um servidor de nomes! Way to go!
Já agora, para sermos exactos… este problema afecta todas as implementações de servidores de DNS…
8 de August de 2008 às 10:23 am
Boa materia Rodrigo!
Rodrigo Soave, por favor entre em contato comigo no e-mail gudines@terra.com.br ou gudines79@hotmail.com (MSN), sou seu colega de trabalho na telefonica, precisamos conversar!
Abracos
Rodrigo Marchina Soares (Gudines)
8 de August de 2008 às 10:27 am
Desculpe gente, é a pressa em escrever!
O certo é que há vulnerabilidade em servidores DNS rodando o famoso BIND (Open Source) e o DNS Microsoft e nao IIS.
[]s
8 de August de 2008 às 10:28 am
Já tive sérios problemas com isso, obviamente dentro de operadoras vulneráveis.
[]´s
8 de August de 2008 às 12:07 pm
A vulnerabilidade existe e é um problema para quem ainda não actualizou os seus sistemas, ainda antes da falha ter sido tornada pública já os grandes “players” estavam a trabalhar na resolução do problema. Ainda que a solução existente e implementada não resolva exactamente o problema mas apenas o contorne.
8 de August de 2008 às 12:32 pm
Realmente é um grande problema…
Esses dias vi uma nota dizendo que apesar das diversas notícias a respeito, mais de 70% ainda não tinha atualizado seus servidores…
8 de August de 2008 às 4:03 pm
Pow!
E eu que quando comecei a ler o post achei que o Rodrigo fosse “ensinar” a atacar esses servidores DNS =S
uahuahuauaa…
brincadeirinha hein.
Post Fantástico Rodrigão.
Abraços,
Anderson
8 de August de 2008 às 4:46 pm
Quer atacar? O exploit foi diponibilizado na net. Voce pode compilá-lo e tentar atacar DNS´s pelo mundo afora. Agora por questôes de ética, não vou passar o link aqui.
Gaste algum tempo no google que você vai achar a página correta.
[]s
8 de August de 2008 às 5:59 pm
Verifiquei essa vulnerabilidade em um DNS de um de meus clientes que estava com a versao do BIND desatualizada.
O proprio CERT.BR envia um e-mail para o administrador com algumas informaçoes referentes ao servidor.
Caso interesse, segue abaixo parte do mesmo. Vale a pena dar uma olhada nos links que ele sugere…
” * O que e’ um ataque de DNS cache poisoning?
O ataque de DNS cache poisoning (envenamento de cache) e’ uma
tecnica que permite a um atacante introduzir informacao DNS forjada
no cache de um servidor DNS.
* Por que devo me preocupar com isso?
Ataques de DNS cache poisoning podem trazer riscos aos clientes que
utilizem este servidor, que podem ser direcionados a sites
incorretos, possivelmente maliciosos e sob o controle do atacante.
Programas que exploram esta vulnerabilidade ja’ estao publicamente
disponiveis.
* Onde posso obter informacoes sobre o problema e como soluciona-lo?
- Multiple DNS implementations vulnerable to cache poisoning
http://www.kb.cert.org/vuls/id/800113
* Como posso testar se meu servidor e’ vulneravel?
- check your resolver’s source port behavior
https://www.dns-oarc.net/oarc/services/porttest
- o mesmo teste, mas usando nslookup de maquinas Windows
nslookup -type=txt -timeout=30 porttest.dns-oarc.net
- Web-based DNS Randomness Test
https://www.dns-oarc.net/oarc/services/dnsentropy
* Alem de aplicar o patch, tem algo a mais que eu possa fazer?
Sim, aplicar o patch e’ muito importante, mas nao e’ a solucao
definitiva para o problema de DNS cache poisoning. Uma solucao mais
permanente e’ tambem a adocao de DNSSEC:
- Info: DNSSEC
http://registro.br/info/dnssec.html
* O CERT.br esta’ fazendo testes nos meus servidores?
Nao. O Registro.br, atraves da analise das consultas que recebe,
identificou uma serie de servidores DNS recursivos vulneraveis. O
CERT.br esta’ notificando os responsaveis pelos servidores presentes
nesta lista.”
O teste de Nslookup sugerido para testar o DNS é bem interessante..
Espero que seja util..
[]s
8 de August de 2008 às 6:11 pm
Ótima complementação Daniel!
Parabéns!
10 de August de 2008 às 3:19 am
Por sinal, já tem alguns domínios que estão exigindo DNSSEC, como o .jus…
Sobre os testes, é importante também executá-los usando o dig para comprovar as delegações.