«

»

ago 08 2008

DNS Recursivos Abertos

Olá pessoal,

Como muitos devem ter acompanhado na midia eletrônica especializada há um sério problema nos servidores DNS, permitindo um atacante “tirar do ar” o serviço de DNS por meio do artifício chamado “envenenamento de cache (cache poisoning)”, que leva o servidor recursivo a armazenar informações forjadas. Tais informações podem ser usadas para comprometer a segurança de clientes que façam consultas a esse servidor.

Essa vulnerabilidade é considerada de alto risco pelos órgãos e CERT´s do mundo, sendo altamente recomendado mitigar esse problema pra quem tem BIND e o DNS da Microsoft, dentre outros servidores DNS.

Maiores informações podem ser encontradas no site do cert.br -> http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/#1

Segue também um link  com o documento do Sr Dan Kaminski, uma das pessoas a alertar sobre essa vulnerabilidade e a disponibilizar o exploit. Essa apresentação foi a mesma utilizada por ele na conferência BLACKHAT, de segurança.

http://www.doxpara.com/DMK_BO2K8.ppt

Rodrigo



Comente usando o Facebook!
0
0

11 comentários

Pular para o formulário de comentário

  1. bender

    é BIND e não BIN… mas o verdadeiro problema é… IIS Microsoft???!?!?! não sabia que o IIS era um servidor de nomes! Way to go! 😀

    Já agora, para sermos exactos… este problema afecta todas as implementações de servidores de DNS…

    0

    0
  2. gudines

    Boa materia Rodrigo!

    Rodrigo Soave, por favor entre em contato comigo no e-mail [email protected] ou [email protected] (MSN), sou seu colega de trabalho na telefonica, precisamos conversar!

    Abracos
    Rodrigo Marchina Soares (Gudines)

    0

    0
  3. Rodrigo C. Soave

    Desculpe gente, é a pressa em escrever!

    O certo é que há vulnerabilidade em servidores DNS rodando o famoso BIND (Open Source) e o DNS Microsoft e nao IIS.

    []s

    0

    0
  4. Marcos Pitanga

    Já tive sérios problemas com isso, obviamente dentro de operadoras vulneráveis.

    []´s

    0

    0
  5. bender

    A vulnerabilidade existe e é um problema para quem ainda não actualizou os seus sistemas, ainda antes da falha ter sido tornada pública já os grandes “players” estavam a trabalhar na resolução do problema. Ainda que a solução existente e implementada não resolva exactamente o problema mas apenas o contorne.

    0

    0
  6. Wederson (CeBoLaRk)

    Realmente é um grande problema…

    Esses dias vi uma nota dizendo que apesar das diversas notícias a respeito, mais de 70% ainda não tinha atualizado seus servidores…

    0

    0
  7. Anderson Rodrigues

    Pow!
    E eu que quando comecei a ler o post achei que o Rodrigo fosse “ensinar” a atacar esses servidores DNS =S

    uahuahuauaa…
    brincadeirinha hein.
    Post Fantástico Rodrigão.

    Abraços,
    Anderson

    0

    0
  8. Rodrigo C. Soave

    Quer atacar? O exploit foi diponibilizado na net. Voce pode compilá-lo e tentar atacar DNS´s pelo mundo afora. Agora por questôes de ética, não vou passar o link aqui.

    Gaste algum tempo no google que você vai achar a página correta.

    []s

    0

    0
  9. Daniel Rodrigues

    Verifiquei essa vulnerabilidade em um DNS de um de meus clientes que estava com a versao do BIND desatualizada.
    O proprio CERT.BR envia um e-mail para o administrador com algumas informaçoes referentes ao servidor.
    Caso interesse, segue abaixo parte do mesmo. Vale a pena dar uma olhada nos links que ele sugere…

    ” * O que e’ um ataque de DNS cache poisoning?

    O ataque de DNS cache poisoning (envenamento de cache) e’ uma
    tecnica que permite a um atacante introduzir informacao DNS forjada
    no cache de um servidor DNS.

    * Por que devo me preocupar com isso?

    Ataques de DNS cache poisoning podem trazer riscos aos clientes que
    utilizem este servidor, que podem ser direcionados a sites
    incorretos, possivelmente maliciosos e sob o controle do atacante.
    Programas que exploram esta vulnerabilidade ja’ estao publicamente
    disponiveis.

    * Onde posso obter informacoes sobre o problema e como soluciona-lo?

    – Multiple DNS implementations vulnerable to cache poisoning
    http://www.kb.cert.org/vuls/id/800113

    * Como posso testar se meu servidor e’ vulneravel?

    – check your resolver’s source port behavior
    https://www.dns-oarc.net/oarc/services/porttest

    – o mesmo teste, mas usando nslookup de maquinas Windows
    nslookup -type=txt -timeout=30 porttest.dns-oarc.net

    – Web-based DNS Randomness Test
    https://www.dns-oarc.net/oarc/services/dnsentropy

    * Alem de aplicar o patch, tem algo a mais que eu possa fazer?

    Sim, aplicar o patch e’ muito importante, mas nao e’ a solucao
    definitiva para o problema de DNS cache poisoning. Uma solucao mais
    permanente e’ tambem a adocao de DNSSEC:

    – Info: DNSSEC
    http://registro.br/info/dnssec.html

    * O CERT.br esta’ fazendo testes nos meus servidores?

    Nao. O Registro.br, atraves da analise das consultas que recebe,
    identificou uma serie de servidores DNS recursivos vulneraveis. O
    CERT.br esta’ notificando os responsaveis pelos servidores presentes
    nesta lista.”

    O teste de Nslookup sugerido para testar o DNS é bem interessante..
    Espero que seja util..

    []s

    0

    0
  10. Rodrigo C. Soave

    Ótima complementação Daniel!

    Parabéns!

    0

    0
  11. Italo Amaral

    Por sinal, já tem alguns domínios que estão exigindo DNSSEC, como o .jus…

    Sobre os testes, é importante também executá-los usando o dig para comprovar as delegações.

    0

    0

Deixe uma resposta