Pre vážnu chybu v DNS vydaný exploit, odporúčaná okamžitá aktualizácia

DSL.sk, 24.7.2008

H.D. Moore stojaci za projektom Metasploit zverejnil včera exploit kód útočiaci na vážnu zraniteľnosť v systéme DNS, ktorá bola avizovaná na začiatku júla.

Zraniteľnosť v pondelok uhádol Thomas Dullien a následne ju potvrdila spoločnosť Matasano Security, ktorá bola o chybe oboznámená z oficiálnych zdrojov.

Zraniteľnosť je typu DNS cache poisoning, umožňuje veľmi efektívne podvrhnúť rekurzívnym DNS serverom falošné IP adresy pre DNS mená.

Zraniteľnosť spočíva v spojení relatívne slabej náhodnosti používaného 16-bitového ID identifikujúceho UDP dotaz, používaní rovnakého zdrojového UDP portu DNS serverom a nového spôsobu útoku, ktorý navrhol Dan Kaminsky.

Namiesto snahy o podvrhnutie falošného záznamu pre cieľovú doménu d.x nový útok najskôr podvrhuje falošný DNS záznam pre menný server pre cieľovú doménu, napríklad ns.d.x.

Dosahuje to zasielaním požiadaviek s ľubovoľnými pravdepodobne nenacachovanými napríklad .com doménami xN.com na DNS server, na ktorý útočí. Následne sa mu snaží podvrhnúť falošnú odpoveď od dôveryhodného DNS servera pre doménu .com, v ktorej uvedie ns.d.x ako menný server pre xN.com ale spolu s dodatočným záznamom s podvrhnutou IP adresou pre ns.d.x.

Ak sa mu to podarí, keďže táto IP adresa pre ns.d.x zostane nacachovaná dlhší čas, môže zaslať požiadavku na preklad d.x, ktorú ale DNS server pošle na IP adresu kontrolovanú útočníkom a ten môže podvrhnúť ľubovoľnú odpoveď.

Analýza efektívnosti útoku proti neopraveným implementáciám najpoužívanejších DNS serverov a klientov zatiaľ nebola zverejnená. Ako ale vyplýva z logu nachádzajúceho sa vo zverejnenom exploite, exploit dokázal v jednom prípade podvrhnúť DNS záznam po zaslaní 7 000 DNS requestov a 140 000 podvrhnutých odpovedí.

Vzhľadom na efektívny útok a dostupnosť exploitu je odporúčaná okamžitá aktualizácia najmä DNS serverov, pre väčšinu ktorých boli vydané nové opravené verzie 8. júla. Rovnako v štandardných aktualizáciách Microsoftu bola vydaná opravená verzia DNS klienta pre Windows.

Či je možné na aktuálne v PC nastavený DNS server zaútočiť novým útokom pre používanie statického UDP portu je možné zistiť na stránke doxpara.com.


Najnovšie články:



Diskusia:

naco cakaju... Od: fotograf | Pridané: 24.7.2008 14:09 tak nech nezverejnuju, ale aktualizuju... Odpovedať Hodnotiť:

Re: naco cakaju... Od: Webstering | Pridané: 24.7.2008 14:12 Presne, myslím si, že je od nich veľké chrapúnstvo robit este exploit. Radsej nech pomoze zabezpecit tie DNSka resp. notifikovat ostatnych. Odpovedať Hodnotiť:

Re: naco cakaju... Od: DNS | Pridané: 24.7.2008 15:09 na doxpara.com sa da overit DNS, skus ako si na tom (resp. tvoj ISP) Odpovedať Hodnotiť:

exploit Od: fffff | Pridané: 24.7.2008 16:20 jedna nemenovana webhostingova spolocnost uz mala tu cest, weby im nesli zopar hodin... Odpovedať Hodnotiť:

Re: exploit Od: trigger* | Pridané: 24.7.2008 18:15 esteze dsl.sk ide bezchybne Odpovedať Hodnotiť:

Re: exploit Od: brigádnici sdl.kss | Pridané: 25.7.2008 17:38 svůj plán plníme na stodvadset procent !!! Odpovedať Hodnotiť:

Pridať komentár