Vážna chyba v dominujúcom DNS Bind umožňuje podvrhovať IP

DSL.sk, 25.7.2007

V utorok bola vydaná nová verzia najpoužívanejšieho DNS servera na Internete Bind, ktorá opravuje závažnú bezpečnostnú chybu potenciálne sa dotýkajúcu všetkých internetových užívateľov.

Chyba umožňuje DNS serveru Bind pracujúcemu ako DNS cache server zisťujúcemu IP adresy domén a tým aj klientom používajúcim tento DNS server podvrhnúť IP adresy útočníka pre ľubovoľné domény, vzdialene bez akejkoľvek potrebnej kontroly alebo preniknutia do softvéru alebo siete.

Chyba sa nachádza v slabom generátore náhodných ID, ktoré je možné s vysokou pravdepodobnosťou predpovedať. Podvrhnutie nepravých odpovedí na DNS požiadavky je v súčasnosti chránené náhodným 16-bitovým ID. Odpoveď obsahujúca IP adresu pre doménu je akceptovaná len v prípade, že v odpovedi je uvedené rovnaké ID generované pôvodne zasielateľom požiadavky.

Amit Klein ale našiel algoritmus, ktorý dokáže predpovedať u Bindu v prípade ID končiaceho nulovým bitom desať hodnôt, z ktorých jedna bude s určitosťou ďalšou generovanou hodnotou generátorom náhodných čísiel Bindu.

To umožňuje zrealizovať útočníkovi útok a vložiť do DNS cache ľubovoľného Bind servera svoju IP adresu pre ľubovoľnú doménu, ktorá nie je nacachovaná, ak má pod kontrolou aspoň jeden DNS server, od ktorého si daný Bind server pýta IP adresu pre ľubovoľnú inú doménu.

DNS server útočníka môže rozličnými spôsobmi zasielať odpovede, ktoré Bind opäť nasmerujú na ten istý DNS server, napríklad pomocou CNAME reťazí, až pokiaľ náhodné ID nekončí bitom s hodnotou 0. DNS server následne presmeruje Bind na doménu, ktorú chce útočník napadnúť, a začne zasielať UDP pakety s DNS odpoveďami s desiatimi predpovedanými hodnotami ID tak, aby dorazili skôr ako legitímna odpoveď DNS servera napádanej domény.

Hoci cielene na vybraný Bind môže byť takýto útok problematické zrealizovať vzhľadom na potrebu požiadavky z tohto Bindu na DNS server útočníka, s vysokou úspešnosťou môžu útočníci napádať ľubovoľné DNS servery, ktoré si vyžiadajú IP adresu od DNS servera pod ich kontrolou.

Úspešnosť útoku sa znižuje s veľkosťou DNS servera a známosťou domén, keď populárne domény sa v cache nachádzajú takmer permanentne a časovanie útoku na čas, keď sa v cache nenachádzajú, môže byť náročné.


Najnovšie články:



Diskusia:

Slavius Od: Slavius | Pridané: 25.7.2007 10:44 Uff! emerge --sync && emerge -u bind ;) Odpovedať Známka: -7.9 Hodnotiť:

lordiceman Od: lordiceman | Pridané: 25.7.2007 13:07 tak toto je riadne teoreticky hack... v skutocnosti si ani neviem predstavit co vsetko by trebalo hacknut aby utocnik moho vyuzit tento hack... napriklad by trebalo hacknut aj router, ktory je default gateway pre DNS server, pretoze okrem toho \"nahodneho\" ID utocnik musi este poznat port, cez ktory bola poziadavka na dns zaznam z dns servera poslana... kazdy kto vie ako funguje tcp/udp hned vidi problem, totiz bind dostane odpoved od operacneho systemu len vtedy pokial bola poslana na ten isty port... v pripade tcp sa musi zhodovat aj zdrojova ip adresa s adresou napadnuteho dns... je velmi vela sposobov ako poskodit cache dns servera, ale na kazdy z nich treba mat uz rootovske prava routra cez ktory prechadzaju dns requesty masiny na ktoru sa utoci Odpovedať Známka: 8.8 Hodnotiť:

lordiceman Od: lordiceman | Pridané: 25.7.2007 13:08 a este by som doplnil, doteraz najlepsi sposob ako poskodit cache dns servera bol \"birthday attack\" viac menej staci ked sa na server posle 700 dns requestov a 700 odpovedi na tu istu domenu, pravdaze s roznymi \"nahodnymi\" ID a je tam takmer 100% sanca ze sa jedna dvojica trafi(je za tym husty matematicky dokaz) takze tento novy algoritmus akurat zmensi pocet packetov na cache poisoning z 1400 na mozno 10 pri spravnom predchadzajucom ID (len pripominam ze UDP requesty a odpovede su velmi male takze 1400 packetov si clovek na linke ani nevsimne) Odpovedať Známka: 0.0 Hodnotiť:

DSL.sk Od: DSL.sk | Pridané: 25.7.2007 15:09 No je to trošku inak, respektíve je to výrazné zlepšenie: 1, Nie je treba hackúť nič, Bind používa stále ten istý UDP port, tvrdí objaviteľ tej chyby, neoveroval som. Port sa pri tomto útoku tak útočník dozvie. 2, Pri birthday musí mať útočník právo využívať ten DNS server (výrazné obmedzenie u väčšiny DNS serverov) a tých 700 paketov treba stihnúť poslať skôr, ako dorazí legitímna odpoveď. Čo môže byť ťažko realizovateľné a veľmi pravdepodobne vyvolá u dobre nakonfigurovanej ochrany nejaké podozrenie. Odpovedať Známka: 3.3 Hodnotiť:

lordiceman Od: lordiceman | Pridané: 26.7.2007 13:05 s tym udp portom by to mohla byt pravda, neviem o tom viac, ale co sa tyka odpovede, bind by mal kontrolovat ip zdroju odkial mu dosla odpoved a pokial tym padom utocnik musi mat pristup na niektory vhodny router pred dns serverom, vacsina routrov na internete je nakonfigurovana tak aby neroutrovala packety, ktore nepochadzaju z danej siete, teda ak dojde packet s ipckou na interface odkial nemohol dojst tak ho router zahodi ako chybny... takze tak ci tak treba mat nacknuty router, inak sa tato chyba neda vyuzit co sa tyka vcasneho posielana chybnych odpovedi na dns server, to sa da zariadit dos utokom na legitimne dns servery Odpovedať Hodnotiť:

DSL.sk Od: DSL.sk | Pridané: 26.7.2007 15:54 No obávam sa, že ani toto nie je potrebné :) Odoslať jednotlivé UDP packety s inou zdrojovou adresou nie je problém. Nedá sa to z každého pripojenia, ale dá sa to z pripojení, ktoré nemusia mať s tou IP nič spoločné. Ale máte pravdu, že úplne triviálne uskutočniť takýto útok ani tak nie je, aj keď to zrejme dosť existujúce útoky zlepšuje. Odpovedať Známka: 3.3 Hodnotiť:

lordiceman Od: lordiceman | Pridané: 26.7.2007 16:41 no osobne, siet ktoru spravujem ma na routri firewallom zabespecenu spravnost kombinacie srcip/dstip/interface, takze napriklad priamo z mojej siete by takyto utok neslo skonstruovat a myslim si ze podobne zabezpecenie je psou povinnostou kazdeho admina teoreticky ked nad tym tak rozmyslam jediny sposob ako to spravit by bolo najst nejaku free vpn siet ktora toto nema zabezpecene, napriklad ak by to nemala zabezpecene tor siet, tak by bola vhodna na pokusy :) ale skusat sa mi to nechce a hladat taku siet je myslim nadlho... pravdu povediac, hacker ktory z nulovych predpokladov, teda z obycajneho pripojenia na net vyuzije tento hack je velmi usilovny clovek :D ale inac fajn diskusia :) Odpovedať Známka: 0.0 Hodnotiť:

lordiceman Od: lordiceman | Pridané: 26.7.2007 13:06 jaj a este dodatok, celkom ma to prekvapilo, lebo som bol v tom ze bind ma jeden z najlepsich generatorov nahodnych cisel, aspon podla poslednych histogramov co som pozeral pred rokom Odpovedať Známka: 7.9 Hodnotiť:

lordiceman Od: lordiceman | Pridané: 26.7.2007 13:12 ale aby sa autor necicil nejak spatne, clanok bol dobre a zrozumitelne napisany, stacilo jedno precitanie a mal som presnu predstavu ako to funguje bez zbytocneho matematickeho mambo-jumba, svojim komentarom som len chcel upozornit ze ta chyba sice je kriticka, ale neznamena to ze to teraz vsetky bind dns servery polozi, utocnik musi mat riadne predpoklady aby mohol utok uskutocnit, nedokaze to kazdy blb co si stiahne hackbind.exe Odpovedať Známka: -8.9 Hodnotiť:

matisek Od: matisek | Pridané: 25.7.2007 16:01 tomu vravim debata :), cisty maniaci Odpovedať Známka: 0.0 Hodnotiť:

gunz Od: gunz | Pridané: 25.7.2007 16:05 nieste kus pozadu?? vid: http://hysteria.sk/prielom/10/#3 a to bolo napisane v '99 Odpovedať Známka: 8.9 Hodnotiť:

gunz Od: gunz | Pridané: 25.7.2007 16:08 jo a vola sa to dns spoofing.. Odpovedať Známka: -0.3 Hodnotiť:

morpheus--sk Od: morpheus--sk | Pridané: 25.7.2007 23:11 asi thak.... Odpovedať Známka: -8.0 Hodnotiť:

pete Od: pete | Pridané: 25.7.2007 23:58 :)) ked veciam nerozumies, drz hubu. slusne povedane. Odpovedať Známka: 3.3 Hodnotiť:

peto Od: peto | Pridané: 26.7.2007 0:11 nie je to az take zlozite, pretoze 65% serverov na internete bezi este na 8.x verzii bindu. A malo ktory z nich reaguje len na legitimne ip. Odpovedať Známka: 5.0 Hodnotiť:

Peto_MiG Od: Peto_MiG | Pridané: 26.7.2007 9:40 Uz len poziadavka, aby mal utocnik pod kontrolou aspon jeden DNS server, s ktorym obet komunikuje. DNS servery nerastu len tak na stromoch. DNS server na Internete je evidovany, inac sa ho nikto nic neopyta. Kazda konkretna domena je viazana na konkretne DNS servre, takze musi byt medzi nimi nejaky zmluvny vztah, a prihlasenie domeny je takisto formalny proces. Utocit z evidovaneho DNS servera mi pripada dost riskantne. A zase hacknut DNS server a tak nad nim ziskat kontrolu, to nie je taka sranda. Lahsie vytvorit nejakeho noveho trojana pre Windows. Omnoho realnejsia sa mi zda hrozba hacknutia low-endovych DSL routerov so standardnym heslom. Staci, ze utocnik nejako ovladne jedneho klienta vo vnutornej sieti, a to dnes nie je problem pokial ide o Windows, a zvnutra sa potom pripoji na router. Ak je tam heslo od vyroby, tak si tam moze robit co chce, vratane presmerovania DNS. Ak by tam teoreticky napalil svoj vlastny firmware, tak uz nikto nezisti, co sa v tej skatuli vlastne deje. Odpovedať Známka: 0.3 Hodnotiť:

lordiceman Od: lordiceman | Pridané: 26.7.2007 13:10 prave o to ide v utokoch podobnym tomuto (cache poisoning) aby si nemusel vlastnit/ovladat dns server, poskodis cache dns servera ktory pouziva konkretna spolocnost/ISP a tak presmerujes vsetkych pouzivatelov od nich smerom na nejake svoje stranky, napriklad ip banky by si presmeroval na vosju ip, tam by si mal rovnaku stranku ako ma banka , kazdy by si tam pekne zadal heslo a ty by si ich potom presmeroval na normalnu stranku banky, akurat ze by si si zaznamenal ich meno/heslo Odpovedať Známka: -8.9 Hodnotiť:

Pridať komentár