Dwa exploity na lukę w DNS gotowe

24-07-2008, 18:53

Dan Kaminsky, odkrywca poważnej luki w protokole DNS, miał ujawnić szczegóły na sierpniowej konferencji BlackHat. Nie zdążył. Spekulacje na temat usterki pojawiły się najpierw na blogu Halvara Flake'a, niedługo potem firma Matasano Security potwierdziła słuszność jego tezy. Informację podchwyciły media. Teraz wiadomo już o dwóch exploitach wykorzystujących problemy z zabezpieczeniami w DNS.

7 sierpnia na konferencji Black Hat Kaminsky miał podać więcej szczegółów na temat luki, którą dwa tygodnie temu łatali najpoważniejsi dostawcy serwerów - odpowiednie uaktualnienia opublikowali Microsoft, Cisco, Red Hat, Sun Microsystems, Internet Software Consortium i inni. Tymczasem Thomas Dullien, dyrektor generalny firmy Zynamics, znany społeczności internetowej jako Halvar Flake, opublikował na swoim blogu domysły odnośnie wspomnianej usterki.

Jak podaje Heise Online, mechanizm ataku wygląda następująco: aby zmienić zawartość pamięci podręcznej serwera nazw (caching nameserver), cyberprzestępca zmusza serwer DNS ofiary do wywołania określonych adresów, np. aaa.example.com, aab.example.com, aac.example.com itd. Dla każdego z tych wywołań serwer nazw używa jednego identyfikatora transakcji. Im więcej takich identyfikatorów zostanie wykorzystanych, tym napastnik ma większe szanse na odgadnięcie właściwej kombinacji. Do przeprowadzenia ataku, czyli przekierowania internauty pod inny adres, potrzebna jest sfałszowana odpowiedź wyposażona w jeden z odgadniętych identyfikatorów.

Prawdopodobieństwo szybkiego znalezienia właściwego identyfikatora jest niewielkie, chyba że napastnik wykorzysta lukę, odkrytą przez Kaminsky'ego. Serwer nazw, przyjmując odpowiedź na zapytanie od innego serwera, stosuje procedurę o nazwie bailiwick checking. Eliminuje ona informacje, których dodatkowy rekord zasobów (Additional Resource Record, RR) nie zawiera. Chcąc zwiększyć prawdopodobieństwo zmanipulowania pamięci podręcznej, trzeba wprowadzić RR dla www.example.com z adresem IP serwera kontrolowanego przez napastnika.

Firma Matasano Security potwierdziła na swoim blogu słuszność domysłów Flake'a, publikując szczegółową specyfikację luki, a wraz z nią informację, że opisany atak przez szybkie łącze internetowe zajmie cyberprzestępcy około 10 sekund. Wpis został usunięty z bloga firmy. W chwili pisania tego tekstu jego kopię można było jeszcze znaleźć w zasobach serwisu amd.co.at. Informacja o ujawnieniu szczegółów luki w DNS szybko przedostała się do mediów.

Na blogu PandaLabs opublikowano obszerny artykuł pt. Patch your DNS NOW!!!!!, pojawiły się bowiem dwa exploity wykorzystujące omawiany błąd w zabezpieczeniach: CAU-EX-2008-0002 oraz CAU-EX-2008-0003. Jak wynika z drobiazgowych komentarzy w exploitach, kod z powodzeniem został zastosowany wobec serwerów BIND 9.4.1 i 9.4.2. Autorami exploitów są HD Moore i |)ruid związani z projektem Metasploit.

Jak podaje ZDNet, zaktualizowany Metasploit do sfałszowania jednego cache'a potrzebuje od jednej do dwóch minut, trwają jednak prace nad szybszą wersją narzędzia. Na uwagę zasługuje fakt, że jeden z exploitów potrafi podmienić cały wpis rekordu zasobów (RR) wskazujący na serwer nazw przypisany do określonej domeny - w ten sposób cyberprzestępca zyskuje możliwość przekierowania na swój serwer wszystkich stron ulokowanych w zaatakowanej domenie.


Źródło: Heise Online, PandaLabs, Matasano Security
Tematy pokrewne:  

tag luki krytycznetag exploittag DNS
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy