Vigil@nce - DNS, ISC BIND : non-expiration de nom révoqué
février 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’un nom de domaine a été révoqué, un attaquant peut
périodiquement interroger un serveur DNS récursif, afin de
continuellement renouveler les données en cache, qui n’expirent
donc jamais.
Gravité : 2/4
Date création : 08/02/2012
Date révision : 09/02/2012
PRODUITS CONCERNÉS
– ISC BIND
– Microsoft Windows 2008
– Protocole DNS
DESCRIPTION DE LA VULNÉRABILITÉ
Un serveur DNS récursif garde en cache les réponses précédentes.
Par exemple, si un utilisateur demande "www.phishing.com" :
- son serveur DNS demande à un serveur autoritaire pour ".com" :
qui est le serveur DNS de "phishing.com" ?
- il reçoit la réponse "ns.phishing.com" avec l’adresse IP
10.0.0.1, et un TTL (durée d’expiration) d’une journée
- il garde cette information en cache
- il demande à 10.0.0.1 : quelle est l’adresse de
"www.phishing.com" ?
- il reçoit la réponse, et la garde en cache, puis l’indique à
l’utilisateur
Lorsqu’un autre utilisateur demande "www.phishing.com", la valeur
mise en cache durant une journée est simplement retournée.
Si une autorité décide de désactiver "phishing.com", la valeur en
cache est encore utilisée une journée. Passé cette date, le
serveur DNS interrogera un serveur autoritaire pour ".com", qui
lui indiquera que le domaine n’existe plus.
Cependant, un attaquant peut faire en sorte que le domaine
"phishing.com" n’expire jamais du cache du serveur DNS. Pour cela,
avant l’expiration du TTL, l’attaquant doit :
– ajouter dans son serveur DNS (ns.phishing.com) une résolution
inverse pour 10.0.0.1, indiquant par exemple
"ns1.phishing.com", qui est aussi un serveur DNS autoritaire
pour "phishing.com"
– demander au serveur DNS récursif de la victime la résolution
inverse pour 10.0.0.1 (la réponse sera ns1.phishing.com), qui
sera gardée en cache comme étant le nouveau serveur DNS de
"phishing.com", avec un TTL d’une journée
Le domaine "phishing.com" est alors valide une journée de plus.
Lorsqu’un nom de domaine a été révoqué, un attaquant peut donc
périodiquement interroger un serveur DNS récursif, afin de
continuellement renouveler les données en cache, qui n’expirent
donc jamais.
Cette vulnérabilité est due à une erreur de conception du
protocole DNS.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/DNS-ISC-BIND-non-expiration-de-nom-revoque-11344