Ataques MaginotDNS exploram verificações fracas para envenenamento de cache DNS
14 de Agosto de 2023

Uma equipe de pesquisadores da UC Irvine e da Universidade Tsinghua desenvolveu um novo e poderoso ataque de envenenamento de cache chamado 'MaginotDNS', que tem como alvo os resolutores de DNS Condicionado (CDNS) e pode comprometer domínios de nível superior (TLDs) inteiros.

O ataque é possível graças a inconsistências na implementação de verificações de segurança em diferentes softwares DNS e modos de servidor (resolutores recursivos e encaminhadores), deixando aproximadamente um terço de todos os servidores CDNS vulneráveis.

Os pesquisadores apresentaram o ataque e o artigo no início desta semana na Black Hat 2023, relatando que os problemas identificados agora foram solucionados no nível do software.

DNS (Domain Name System) é um sistema de nomes hierárquico e distribuído para recursos e redes da internet, que ajuda a resolver nomes de domínios legíveis por humanos para endereços IP numéricos, de modo que uma conexão de rede possa ser feita.

O processo de resolução DNS usa UDP, TCP e DNSSEC para realizar consultas e receber respostas.

Ele pode ser iterativo e recursivo, envolvendo múltiplos passos e trocas com servidores raiz, servidores TLD, servidores autoritativos, registros de cache em todo o caminho, etc.

O conceito de envenenamento do cache DNS envolve a injeção de respostas forjadas no cache do resolvedor DNS, fazendo com que o servidor direcione os usuários que inserem um domínio para endereços IP incorretos, potencialmente levando-os a sites maliciosos sem seu conhecimento.

Vários ataques deste tipo foram demonstrados no passado, como, por exemplo, o ataque de Kashpureff em 1997, que explorou a falta de verificação de dados (regras de atuação), e o ataque de Kaminsky em 2008, que se aproveitou da ausência de um sistema de randomização de porta de origem.

Esses ataques foram mitigados pela adição de defesas na implementação dos resolvedores, tornando os ataques fora do caminho desafiadores.

No entanto, o ataque 'MaginotDNS' pode superar essas defesas atacando o modo de encaminhamento do CDNS a partir de dentro ou fora do caminho.

Os resolvedores CDNS suportam modos de consulta recursiva e de encaminhamento, utilizados por ISPs e empresas para reduzir custos e melhorar o controle de acesso.

Os pesquisadores descobriram que as verificações de atuação são adequadamente aplicadas no modo recursivo; no entanto, o encaminhador é vulnerável.

Como os dois compartilham o mesmo cache DNS global, um ataque ao modo encaminhador pode abrir o caminho para a violação do modo recursivo, quebrando essencialmente a proteção do cache DNS.

Os pesquisadores identificaram inconsistências na verificação de atuação de softwares DNS proeminentes, incluindo BIND9 ( CVE-2021-25220 ), Knot Resolver ( CVE-2022-32983 ), DNS Microsoft e Technitium ( CVE-2021-43105 ).

Em alguns casos, eles observaram configurações que tratavam todos os registros como se estivessem sob o domínio raiz, uma configuração altamente vulnerável.

Os exemplos exibidos pelos pesquisadores durante sua apresentação na BlackHat incluem ataques dentro e fora do caminho, sendo este último o mais complicado, mas também muito mais valioso para os atores de ameaças.

Para esses ataques, o ator de ameaças precisa prever a porta de origem e o ID da transação utilizados pelos servidores DNS recursivos do alvo ao gerar uma solicitação e, em seguida, usar um servidor DNS malicioso para enviar respostas forjadas com os parâmetros corretos.

Inferir a porta de origem e adivinhar os IDs de transação pode ser feito por força bruta ou usando SADDNS (DNS atacado por canal lateral).

Para BIND9, ambos os parâmetros podem ser recuperados com sucesso após 3.600 rodadas de consulta, enquanto para DNS Microsoft, isso cai para 720 rodadas.

Para aumentar as chances de sucesso, o atacante deve controlar o tempo de resposta das respostas DNS maliciosas para garantir que sua resposta forjada chegue ao servidor da vítima antes da legítima.

Os pesquisadores compartilharam o seguinte vídeo demonstrando o ataque MaginotDNS no DNS Microsoft.

Os pesquisadores vasculharam a internet e encontraram 1.200.000 resolvedores de DNS, dos quais 154.955 são servidores CDNS.

Em seguida, usando impressões digitais de software para identificar versões vulneráveis, eles encontraram 54.949 servidores CDNS vulneráveis, todos sujeitos a ataques dentro do caminho, e 88,3% são afetados por ataques fora do caminho.

Todos os fornecedores de software afetados mencionados acima confirmaram e corrigiram as falhas, e a Microsoft concedeu uma recompensa aos pesquisadores por seu relatório.

No entanto, para que os problemas sejam totalmente mitigados, os administradores de CDNS devem aplicar os patches e seguir as diretrizes corretas de configuração fornecidas pelos fornecedores.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...