Introdotto da un gruppo di esperti proveniente dall'Università di California a Irvine e dalla Tsinghua University, "MaginotDNS" è una nuova strategia d'attacco che mira a destabilizzare le cache dei resolver DNS condizionali (CDNS), potenzialmente mettendo a repentaglio i domini di primo livello (TLD).
Il successo di questo attacco è stato reso possibile dalle discrepanze nell'implementazione dei protocolli di sicurezza all'interno di vari software DNS.
Questo studio è stato presentato in dettaglio durante il convegno Black Hat 2023 con la precisazione che le problematiche emerse sono già state corrette attraverso interventi a livello di software.
I resolver DNS che si occupano di tradurre le richieste DNS in risposte utilizzano protocolli come UDP, TCP e DNSSEC. Questi resolver possono operare in modalità iterativa o ricorsiva, coinvolgendo diverse fasi di interazione con server radice, domini di primo livello e server autoritativi.
La base di compromettere la cache DNS sta nell'inserire dati errati nella cache di un resolver, spingendo il server a indirizzare gli utenti che cercano di accedere a un dominio legittimo verso indirizzi IP errati, dirottandoli a siti web dannosi in modo completamente inosservato.
I resolver CDNS possono sostenere sia l'approccio ricorsivo che quello di reindirizzamento, che è impiegato dagli ISP e dalle reti aziendali per ottimizzare le risorse e regolare gli accessi. Questa modalità dimostra di essere più vulnerabile.
In alcune circostanze, è stato notato un setup in cui tutti i record vengono trattati come se appartenessero al dominio principale, creando una situazione di notevole vulnerabilità.
Nel corso della presentazione al convegno Black Hat sono stati illustrati esempi di attacchi sia on-path/inline che out-of-path (Out-path/Out-of-path). Quest'ultimi risultano più complessi, ma altrettanto attraenti per gli aggressori.
Per attuare tali attacchi, gli hacker devono prevedere la porta di origine e l'ID transazione utilizzati dai server DNS ricorsivi del bersaglio durante una richiesta, utilizzando quindi un server DNS malevolo per inviare risposte false con i parametri appropriati.
Questa scoperta solleva preoccupazioni reali per la stabilità di Internet.
Tutti i fornitori di software interessati hanno confermato la vulnerabilità e hanno apportato le correzioni del caso. In segno di riconoscimento Microsoft ha anche premiato gli esperti per il loro contributo.
Fonti: