HSC : Problème d’empoisonnement de cache dans un grand nombre de serveurs DNS
juillet 2008 par HSC
– Date : 09-07-2008
– Criticité HSC : 4/5 - haute
– Avis public : Oui
– Exploitation : Disponible mais non publique
– Résumé : De nombreuses implémentations de serveurs DNS sont vulnérables à
une possibilité d’empoisonnement de cache (insertion par un attaquant
distant d’une valeur arbitraire d’adresse pour un nom de serveur). Ce
problème était dejà connu, mais de nouveaux outils et de nouvelles
méthodes d’exploitation seront révélées dans les prochaines semaines.
La plupart des implémentations DNS sont corrigées pour utiliser des
numéros de ports UDP aléatoires pour chaque requête, alors que jusqu’à
présent elles utilisaient un port source statique.
Ce problème ne concerne que les serveurs DNS récursifs (qui sont
configurés pour répondre à des clients sur des domaines extérieurs).
– Source : CERT
– Objet : Cisco, ISC BIND 9, Microsoft
– Description :
Lors de la conférence Blackhat en Août 2008, Dan Kaminsky va rendre
public une nouvelle méthode et de nouveaux outils (probablement
utilisant le paradoxe des anniversaires), permettant d’empoisonner le
cache des serveurs DNS récursifs avec peu de requêtes et peu de bande
passante.
Ce problème, lié au fait que les ID de Query DNS n’ont que 16 bits
d’entropie, était déjà connu et exploité à diverses reprises en
s’appuyant sur des failles d’implémentation. Il semble que des avancées
ait été faites permettant, même si le générateur de nombre aléatoires
est correct, de monter l’attaque avec une probabilité importante de
succès.
Les implémentations les plus courantes du DNS sont vulnérables :
– ISC BIND9 (Bind8 aussi mais aucun correctif ne sera fourni), cf
http://www.isc.org/index.pl?/sw/bind/bind-security.php , ce qui impacte
la plupart des distributions Linux.
– Microsoft DNS (sur Windows 2000 et Windows 2003) :
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx
– Nominum DNS :
http://www.kb.cert.org/vuls/id/MIMG-7F9PFM
– Cisco DNS server sur IOS :
http://www.cisco.com/warp/public/707/cisco-sa-20080708-dns.shtml
D’une manière générale, il faut se baser sur l’avis du CERT et des
références vers les sites constructeurs :
http://www.us-cert.gov/cas/techalerts/TA08-190B.html
Articles connexes:
- Avis du CERTA : Vulnérabilité DNS dans Microsoft Windows
- Vigil@nce : Windows, empoisonnement du cache DNS
- Faille DNS : Netasq recommande de mettre à jours ses serveurs DNS
- Dan Kaminsky propose de tester votre DNS
- Philippe Humeau, NBS System : Bien joué Dan Kaminsky pour ta faille DNS !
- Hervé Schauer, HSC : Les entreprises toujours sous la menace de la vulnérabilité DNS
- Frédéric Charpentier, XMCO Partners : Quelle est cette nouvelle méthode découverte par Dan Kaminsky ?
- Bernard Ourghanlian, Microsoft : le DNS a un problème endémique
- Webcast Black Hat avec Dan Kaminsky : Patchez avant de partir en vacances !
- Avis du CERTA : Du bon usage du DNS
- Dominique Jouniot, Thylenea S.I. : Organisation autour d’une faille ou une approche ISO 27001 du bug DNS
- La vulnérabilité DNS de Dan Kaminisky va-t-elle conduire à la refonte du système ?
- Dan Kaminsky, IO Active : Wake up call !