Faille DNS qui fait courir un risque important au réseau à l'échelle mondiale : NETASQ réagit

Les détails techniques seront dévoilés au mois d'août mais des informations sont déjà disponibles.

L'importance de cette attaque réside dans le fait que la majorité des serveurs DNS du marché sont vulnérables lorsqu'ils interrogent eux même un autre serveur DNS (requête récursive). L'exploitation de cette faille permet de faire passer de fausses réponses DNS pour des réponses correctes ("DNS spoofing").

L'analyse des correctifs appliqués au serveur DNS BIND montre que la génération des éléments variables des paquets DNS a été modifiée pour les rendre plus aléatoires. L'attaque se base donc apparemment sur la possibilité de deviner les éléments aléatoires nécessaires pour créer une réponse au bon format (DNS ID et port source UDP) et cible les requêtes récursives. C'est donc lorsqu'un serveur DNS envoie une requête sur un domaine qu'il ne connait pas, qu'il est sensible à l'attaque.

Les postes clients n'envoient jamais de requêtes récursives en fonctionnement normal.

Les serveurs DNS principaux (primaire, secondaire ...) ont été mis à jour, ce sont donc les serveurs DNS d'entreprises qui sont, à priori, les cibles principales.

Le principe de l'attaque implique d'envoyer un nombre important de fausses réponses avec des éléments aléatoires différents, pour tenter de "deviner" le bon format de réponse. Cette fausse réponse doit arriver avant la réponse légitime (celle du serveur DNS interrogé) pour être prise en compte ("race condition").

Le nombre de valeurs possibles est important, toutefois, la multiplication des attaques fait que les chances de succès de cette attaque sont donc très importantes (paradoxe de l'anniversaire ("birthday attack")).

Les produits NETASQ incluent des protections DNS efficaces contre les attaques sur le champ aléatoire DNS ID.
Notamment la protection contre l'usurpation d'ID DNS est à bloquer en configuration par défaut et déclenche une alarme majeure.

Dans le cas où la donnée aléatoire vulnérable est le port UDP source, le suivi des sessions UDP par le moteur de prévention d'intrusion bloquerait l'attaque en n'acceptant que le premier paquet

Ci-dessous un exemple de configuration de la protection DNS (mise en quarantaine de l'attaquant pour 1 minute afin d'éviter de bloquer les tentatives suivantes).

La mise en quarantaine de l'attaquant l'empêche de multiplier les attaques et par la même occasion diminue le nombre d'alarmes déclenchées par cette attaque.

Nous sommes donc a priori dans un cas ou les produits NETASQ fournissent une protection "zero day".

Il faut bien entendu attendre les détails techniques pour en être sûr.

Dans tous les cas, il est fortement recommandé de mettre à jour les serveurs DNS de l'entreprise dès que possible.
Dès maintenant, mais vraisemblablement au mois d'août lorsque les détails techniques seront disponibles, une vague d'attaque est à prévoir.

Les attaquants cibleront en priorité les serveurs DNS dans une version vulnérable. Mettre à jour les serveurs DNS de l'entreprise la protège contre l'attaque et lui permet d'éviter l'analyse des traces de l'attaque dans le Firewall.

Plus d'informations

Paradoxe de l'anniversaire : http://en.wikipedia.org/wiki/Birthday_p ... ay_paradox

Alerte Microsoft : http://www.microsoft.com/technet/securi ... 8-037.mspx

US CERT : http://www.kb.cert.org/vuls/id/800113 ... /id/800113

CVE : http://cve.mitre.org/cgi-bin/cvename.cg ... -2008-1447