logo

Vulnerabilidade de DNS | Notícia Genco Rio

publicado em:28/05/20 5:04 PM por: Notícia

Nova vulnerabilidade de DNS permite que atacantes iniciem ataques DDoS em larga escala.

Pesquisadores israelenses de segurança cibernética divulgaram detalhes sobre uma nova falha no protocolo DNS que pode ser explorada para lançar ataques ampliados e de larga escala distribuídos de negação de serviço (DDoS) a sites alvos de remoção.

Nova vulnerabilidade DNS, é chamada de NXNSAttack.

Chamada de NXNSAttack , a falha depende do mecanismo de delegação de DNS para forçar os resolvedores de DNS a gerar mais consultas de DNS para servidores autoritativos da escolha do invasor, potencialmente causando uma interrupção em escala de botnet nos serviços online.

Os pesquisadores mostraram, que o número de mensagens DNS trocadas em um processo típico de resolução pode ser muito maior na prática do que o esperado na teoria, principalmente devido a uma resolução proativa dos endereços IP dos servidores de nomes.

Mostraram  como essa ineficiência se torna um gargalo e pode ser usada para montar um ataque devastador contra um ou ambos, resolvedores recursivos e servidores autorizados.

Grandes corporações como Google e Amazon, já corrigiram a vulnerabilidade.

Após a divulgação responsável do NXNSAttack, várias empresas responsáveis ​​pela infraestrutura da Internet, incluindo PowerDNS ( CVE-2020-10995 ), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn de propriedade da Oracle , Verisign e IBM Quad9, corrigiram seus softwares para solucionar o problema.

Ataques de DNS em 2016, paralisaram grandes corporações.

A infra-estrutura de DNS já havia sido alvo de uma série de ataques DDoS por meio da famosa botnet Mirai , incluindo aqueles contra o serviço DNS Dyn em 2016, paralisando alguns dos maiores sites do mundo, como Twitter, Netflix, Amazon e Spotify.

O método NXNSAttack. 

Uma pesquisa DNS recursiva ocorre quando um servidor DNS se comunica com vários servidores DNS autoritativos em uma sequência hierárquica para localizar um endereço IP associado a um domínio (por exemplo,www.google.com) e devolvê-lo ao cliente.

Essa resolução geralmente começa com o resolvedor de DNS controlado por seus ISPs ou servidores DNS públicos, como Cloudflare (1.1.1.1) ou Google (8.8.8.8), o que estiver configurado com o seu sistema.

O resolvedor passa a solicitação para um servidor de nomes DNS autoritário se não conseguir localizar o endereço IP para um determinado nome de domínio.

Mas se o primeiro servidor de nomes DNS autoritativo também não mantiver os registros desejados, ele retornará a mensagem de delegação com endereços para os próximos servidores autoritativos aos quais o resolvedor DNS pode consultar.

 

Nova vulnerabilidade de DNS é descoberta por pesquisadores israelenses.

Entenda como funciona!

Ou seja, um servidor autoritário diz ao resolvedor recursivo: “Não sei a resposta, consulte estes e esses servidores de nomes, por exemplo, ns1, ns2, etc.”.

Esse processo hierárquico continua até que o resolvedor DNS atinja o servidor autoritativo correto que fornece o endereço IP do domínio, permitindo que o usuário acesse o site desejado.

Os pesquisadores descobriram que essas grandes despesas indiretas indesejadas podem ser exploradas para enganar os resolvedores recursivos a enviar continuamente um grande número de pacotes para um domínio de destino, em vez de servidores oficiais legítimos.

Veja como o ataque é montado.

Para montar o ataque através de um resolvedor recursivo, o invasor deve estar na posse de um servidor autorizado, disseram os pesquisadores.

“Isso pode ser facilmente obtido com a compra de um nome de domínio. Um adversário que atua como um servidor autorizado pode criar qualquer resposta de referência do NS como resposta a diferentes consultas de DNS”, disseram os pesquisadores.

Como funciona o ataque?

O NXNSAttack funciona enviando uma solicitação para um domínio controlado pelo invasor (por exemplo, “attacker.com”) para um servidor vulnerável de resolução de DNS, que encaminhará a consulta DNS para o servidor autorizado controlado pelo invasor.

Em vez de retornar endereços aos servidores autoritativos reais, o servidor autoritativo controlado pelo invasor responde à consulta DNS com uma lista de nomes ou subdomínios de servidor falsos controlados pelo agente de ameaça que aponta para o domínio DNS da vítima.

O servidor DNS, então, encaminha a consulta a todos os subdomínios inexistentes, criando um grande aumento no tráfego para o site da vítima.

Mas qual é a consequência desse ataque?

Os pesquisadores disseram que o ataque pode ampliar o número de pacotes trocados pelo resolvedor recursivo em até um fator de mais de 1.620, sobrecarregando não apenas os resolvedores de DNS com mais solicitações que eles podem manipular, mas também inundando o domínio de destino com solicitações supérfluas e derrubá-lo.

 

Nova vulnerabilidade de DNS é descoberta por pesquisadores israelenses.

Portanto, o uso de uma botnet como o Mirai como um cliente DNS pode aumentar ainda mais a escala do ataque.

“Controlar e adquirir um grande número de clientes e um grande número de NSs autorizados por um invasor é fácil e barato na prática”, disseram os pesquisadores.

Essa vulnerabilidade de DNS, é grave!

“Nosso objetivo inicial era investigar a eficiência dos resolvedores recursivos e seu comportamento sob diferentes ataques, e acabamos encontrando uma nova vulnerabilidade de aparência séria, o NXNSAttack”, concluíram os pesquisadores.

“Os principais ingredientes do novo ataque são: (i) a facilidade com que se pode possuir ou controlar um servidor de nomes autorizado e (ii) o uso de nomes de domínio inexistentes para servidores de nome e (iii) a redundância extra colocada no DNS estrutura para obter tolerância a falhas e tempo de resposta rápido.
É altamente recomendável que os administradores de rede que executam seus próprios servidores DNS atualizem seu software de resolução de DNS para a versão mais recente.

 

Fonte e imagens: The Hackes News

 

Leia também:

Ransomware WannaCry e suas novas variantes

Ransomware ColdLock



A última modificação foi feita em:setembro 20th, 2020 as 12:53 am




Comentários



Adicionar Comentário