Actu
HSC : Problème d’empoisonnement de cache dans un grand nombre de serveurs DNS
juillet 2008 par HSC
Date : 09-07-2008
Criticité HSC : 4/5 - haute
Avis public : Oui
Exploitation : Disponible mais non publique
Résumé : De nombreuses implémentations de serveurs DNS sont vulnérables à
une possibilité d’empoisonnement de cache (insertion par un attaquant
distant d’une valeur arbitraire d’adresse pour un nom de serveur). Ce
problème était dejà connu, mais de nouveaux outils et de nouvelles
méthodes d’exploitation seront révélées dans les prochaines semaines.
La plupart des implémentations DNS sont corrigées pour utiliser des numéros de ports UDP aléatoires pour chaque requête, alors que jusqu’à présent elles utilisaient un port source statique.
Ce problème ne concerne que les serveurs DNS récursifs (qui sont configurés pour répondre à des clients sur des domaines extérieurs).
Source : CERT
Objet : Cisco, ISC BIND 9, Microsoft
Description :
Lors de la conférence Blackhat en Août 2008, Dan Kaminsky va rendre public une nouvelle méthode et de nouveaux outils (probablement utilisant le paradoxe des anniversaires), permettant d’empoisonner le cache des serveurs DNS récursifs avec peu de requêtes et peu de bande passante.
Ce problème, lié au fait que les ID de Query DNS n’ont que 16 bits d’entropie, était déjà connu et exploité à diverses reprises en s’appuyant sur des failles d’implémentation. Il semble que des avancées ait été faites permettant, même si le générateur de nombre aléatoires est correct, de monter l’attaque avec une probabilité importante de succès.
Les implémentations les plus courantes du DNS sont vulnérables :
ISC BIND9 (Bind8 aussi mais aucun correctif ne sera fourni), cf
http://www.isc.org/index.pl?/sw/bind/bind-security.php , ce qui impacte
la plupart des distributions Linux.
Microsoft DNS (sur Windows 2000 et Windows 2003) :
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx
Nominum DNS :
http://www.kb.cert.org/vuls/id/MIMG-7F9PFM
Cisco DNS server sur IOS :
http://www.cisco.com/warp/public/707/cisco-sa-20080708-dns.shtml
D’une manière générale, il faut se baser sur l’avis du CERT et des
références vers les sites constructeurs :
http://www.us-cert.gov/cas/techalerts/TA08-190B.html
Articles connexes:
- Avis du CERTA : Vulnérabilité DNS dans Microsoft Windows
- Vigil@nce : Windows, empoisonnement du cache DNS
- Faille DNS : Netasq recommande de mettre à jours ses serveurs DNS
- Dan Kaminsky propose de tester votre DNS
- Philippe Humeau, NBS System : Bien joué Dan Kaminsky pour ta faille DNS !
- Hervé Schauer, HSC : Les entreprises toujours sous la menace de la vulnérabilité DNS
- Frédéric Charpentier, XMCO Partners : Quelle est cette nouvelle méthode découverte par Dan Kaminsky ?
- Bernard Ourghanlian, Microsoft : le DNS a un problème endémique
- Webcast Black Hat avec Dan Kaminsky : Patchez avant de partir en vacances !
- Avis du CERTA : Du bon usage du DNS
- Dominique Jouniot, Thylenea S.I. : Organisation autour d’une faille ou une approche ISO 27001 du bug DNS
- La vulnérabilité DNS de Dan Kaminisky va-t-elle conduire à la refonte du système ?
- Dan Kaminsky, IO Active : Wake up call !
