Faille DNS : Netasq recommande de mettre à jours ses serveurs DNS
juillet 2008 par Marc Jacob
L’importance de cette attaque réside dans le fait que la majorité des serveurs DNS du marché sont vulnérables lorsqu’ils interrogent eux même un autre serveur DNS (requête récursive). L’exploitation de cette faille permet de faire passer de fausses réponses DNS pour des réponses correctes ("DNS spoofing").
L’analyse des correctifs appliqués au serveur DNS BIND montre que la génération des éléments variables des paquets DNS a été modifiée pour les rendre plus aléatoires. L’attaque se base donc apparemment sur la possibilité de deviner les éléments aléatoires nécessaires pour créer une réponse au bon format (DNS ID et port source UDP) et cible les requêtes récursives. C’est donc lorsqu’un serveur DNS envoie une requête sur un domaine qu’il ne connait pas, qu’il est sensible à l’attaque.
Les postes clients n’envoient jamais de requêtes récursives en fonctionnement normal.
Les serveurs DNS principaux (primaire, secondaire ...) ont été mis à jour, ce sont donc les serveurs DNS d’entreprises qui sont, a priori, les cibles principales.
Le principe de l’attaque implique d’envoyer un nombre important de fausses réponses avec des éléments aléatoires différents, pour tenter de "deviner" le bon format de réponse. Cette fausse réponse doit arriver avant la réponse légitime (celle du serveur DNS interrogé) pour être prise en compte ("race condition").
Le nombre de valeurs possibles est important, toutefois, la multiplication des attaques fait que les chances de succès de cette attaque sont donc très importantes (paradoxe de l’anniversaire ("birthday attack")).
La mise en quarantaine de l’attaquant l’empêche de multiplier les attaques et par la même occasion diminue le nombre d’alarmes déclenchées par cette attaque.
Dans tous les cas, il est fortement recommandé de mettre à jour les serveurs DNS de l’entreprise dès que possible.
Dès maintenant, mais vraisemblablement au mois d’août lorsque les détails techniques seront disponibles, une vague d’attaque est à prévoir.
Les attaquants cibleront en priorité les serveurs DNS dans une version vulnérable. Mettre à jour les serveurs DNS de l’entreprise la protège contre l’attaque et lui permet d’éviter l’analyse des traces de l’attaque dans le Firewall.
De l’avis des experts de Netasq, quelque soit la confiance que vous avez dans vos solutions, il est recommandé d’appliquer des correctifs lorsqu’une faille a connu une telle publicité. Indépendant du risque effectif d’attaque, le simple fait de laisser un serveur important dans une configuration vulnérable incite les personnes malveillantes à s’attaquer à votre entreprise. Même protégé, vous n’échapperez pas à la tâche fastidieuse de gérer les alertes déclenchées par ces attaques.
Paradoxe de l’anniversaire :
http://en.wikipedia.org/wiki/Birthday_paradox
Alerte Microsoft :
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx
US CERT :
http://www.kb.cert.org/vuls/id/800113
CVE : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447
Articles connexes:
- HSC : Problème d’empoisonnement de cache dans un grand nombre de serveurs DNS
- Avis du CERTA : Vulnérabilité DNS dans Microsoft Windows
- Vigil@nce : Windows, empoisonnement du cache DNS
- Dan Kaminsky propose de tester votre DNS
- Philippe Humeau, NBS System : Bien joué Dan Kaminsky pour ta faille DNS !
- Hervé Schauer, HSC : Les entreprises toujours sous la menace de la vulnérabilité DNS
- Frédéric Charpentier, XMCO Partners : Quelle est cette nouvelle méthode découverte par Dan Kaminsky ?
- Bernard Ourghanlian, Microsoft : le DNS a un problème endémique
- Webcast Black Hat avec Dan Kaminsky : Patchez avant de partir en vacances !
- Avis du CERTA : Du bon usage du DNS
- Dominique Jouniot, Thylenea S.I. : Organisation autour d’une faille ou une approche ISO 27001 du bug DNS
- La vulnérabilité DNS de Dan Kaminisky va-t-elle conduire à la refonte du système ?
- Dan Kaminsky, IO Active : Wake up call !