• CyberNews
  • Minaccia MaginotDNS, attacco alla cache!

Introdotto da un gruppo di esperti proveniente dall'Università di California a Irvine e dalla Tsinghua University, "MaginotDNS" è una nuova strategia d'attacco che mira a destabilizzare le cache dei resolver DNS condizionali (CDNS), potenzialmente mettendo a repentaglio i domini di primo livello (TLD).
Il successo di questo attacco è stato reso possibile dalle discrepanze nell'implementazione dei protocolli di sicurezza all'interno di vari software DNS.
Questo studio è stato presentato in dettaglio durante il convegno Black Hat 2023 con la precisazione che le problematiche emerse sono già state corrette attraverso interventi a livello di software.
I resolver DNS che si occupano di tradurre le richieste DNS in risposte utilizzano protocolli come UDP, TCP e DNSSEC. Questi resolver possono operare in modalità iterativa o ricorsiva, coinvolgendo diverse fasi di interazione con server radice, domini di primo livello e server autoritativi.
La base di compromettere la cache DNS sta nell'inserire dati errati nella cache di un resolver, spingendo il server a indirizzare gli utenti che cercano di accedere a un dominio legittimo verso indirizzi IP errati, dirottandoli a siti web dannosi in modo completamente inosservato.
I resolver CDNS possono sostenere sia l'approccio ricorsivo che quello di reindirizzamento, che è impiegato dagli ISP e dalle reti aziendali per ottimizzare le risorse e regolare gli accessi. Questa modalità dimostra di essere più vulnerabile.
In alcune circostanze, è stato notato un setup in cui tutti i record vengono trattati come se appartenessero al dominio principale, creando una situazione di notevole vulnerabilità.
Nel corso della presentazione al convegno Black Hat sono stati illustrati esempi di attacchi sia on-path/inline che out-of-path (Out-path/Out-of-path). Quest'ultimi risultano più complessi, ma altrettanto attraenti per gli aggressori.
Per attuare tali attacchi, gli hacker devono prevedere la porta di origine e l'ID transazione utilizzati dai server DNS ricorsivi del bersaglio durante una richiesta, utilizzando quindi un server DNS malevolo per inviare risposte false con i parametri appropriati.
Questa scoperta solleva preoccupazioni reali per la stabilità di Internet.
Tutti i fornitori di software interessati hanno confermato la vulnerabilità e hanno apportato le correzioni del caso. In segno di riconoscimento Microsoft ha anche premiato gli esperti per il loro contributo.

Fonti:

    Samueleex interessante, vediamo ad esempio un approfondimento della vulnerabilità Kaminsky attack:

    1. il client malevolo invia una query ricorsiva, random (es. tramite brute-force) per provare ad indovinare un possibile host nel dominio
    2. se TXID combacia, ha funzionato questo step, altrimenti si procede di nuovo sempre in modo iterativo, random
    3. le richieste sono indirizzate al dnsroot name server (root nameserver) che risponde con una lista di record che vengono usati nello step successivo
    4. tramite richieste ricorsive al DNS server ora il dnsroot risponde alla domanda (dove si trova l'indirizzo richiesto)
    5. si gioca sul "tempismo": ora che l'utente malevolo ha l'informazione, prima che il DNS server possa rispondere agli altri, invia una risposta spoof all'utente regolare che si collega, fornendo quindi la risposta che avrebbe dato il server regolare. In questo modo il client malevolo ("recursive DNS server") inserisce volutamente nella cache l'indirizzo IP malevolo ("bad server") anziché quello originario. Giocando sul tempismo come detto, la successiva risposta che invece arriva dal dnsroot viene scartata

    In breve, un consiglio su come difendersi da tale minaccia: aumentare la complessità, lunghezza in bit (es. 16 bit, 32 bit). Ovviamente in questo modo aumenta esponenzialmente la difficoltà di successo tramite un attacco brute-force.

    Approfondimenti:
    securitylab.disi.unitn.it
    blackhat.com

    Powered by: FreeFlarum.
    (remove this footer)