SAD DNS: nuevas fallas reactivan los ataques de envenenamiento de caché de DNS

Envenenamiento de caché de DNS

Un grupo de académicos de la Universidad de California y la Universidad de Tsinghua ha descubierto una serie de fallas de seguridad críticas que podrían conducir a un resurgimiento de los ataques de envenenamiento de caché de DNS.

Apodado «ataque SAD DNS» (abreviatura de Side-channel AttackeD DNS), la técnica hace posible que un actor malicioso lleve a cabo un ataque fuera de ruta, redirigiendo cualquier tráfico originalmente destinado a un dominio específico a un servidor bajo su control. lo que les permite escuchar a escondidas y manipular las comunicaciones.

«Esto representa un hito importante: el primer ataque de canal lateral de red que se puede armar y que tiene graves impactos en la seguridad», dijeron los investigadores. «El ataque permite que un atacante fuera de ruta inyecte un registro de DNS malicioso en un caché de DNS».

Rastreado como CVE-2020-25705, los hallazgos se presentaron en la Conferencia ACM sobre seguridad informática y de comunicaciones (CCS ’20) celebrada esta semana.

La falla afecta a los sistemas operativos Linux 3.18-5.10, Windows Server 2019 (versión 1809) y posteriores, macOS 10.15 y posteriores, y FreeBSD 12.1.0 y posteriores.

Los reenviadores de DNS se convierten en una nueva superficie de ataque

Los solucionadores de DNS suelen almacenar en caché las respuestas a las consultas de direcciones IP durante un período específico como medio para mejorar el rendimiento de las respuestas en una red. Pero este mismo mecanismo puede explotarse para envenenar los cachés haciéndose pasar por las entradas DNS de la dirección IP para un sitio web determinado y redirigir a los usuarios que intentan visitar ese sitio web a otro sitio elegido por el atacante.

Sin embargo, la efectividad de tales ataques se ha visto afectada en parte debido a protocolos como DNSSEC (Extensiones de seguridad del sistema de nombres de dominio) que crea un sistema de nombres de dominio seguro al agregar firmas criptográficas a los registros DNS existentes y defensas basadas en la aleatorización que permiten que el DNS resolver para utilizar un puerto de origen y un ID de transacción (TxID) diferentes para cada consulta.

Hackeo de DNS

Al señalar que las dos medidas de mitigación aún están lejos de implementarse ampliamente debido a razones de «incentivos y compatibilidad», los investigadores dijeron que idearon un ataque de canal lateral que se puede usar con éxito contra las pilas de software de DNS más populares, lo que hace que los solucionadores de DNS sean públicos. como Cloudflare 1.1.1.1 y Google 8.8.8.8 vulnerable.

Un nuevo ataque de canal lateral

El ataque SAD DNS funciona haciendo uso de una máquina comprometida en cualquier red que sea capaz de activar una solicitud de un reenviador o resolutor de DNS, como una red inalámbrica pública administrada por un enrutador inalámbrico en una cafetería, un centro comercial o un aeropuerto.

Ataque de canal lateral

Luego aprovecha un canal lateral en la pila de protocolos de red para escanear y descubrir qué puertos de origen se utilizan para iniciar una consulta de DNS e inyectar directamente una gran cantidad de respuestas de DNS falsificadas mediante la fuerza bruta de los TxID.

Más específicamente, los investigadores utilizaron un canal utilizado en las solicitudes de nombres de dominio para reducir el número de puerto de origen exacto mediante el envío de paquetes UDP falsificados, cada uno con direcciones IP diferentes, a un servidor víctima e inferir si las sondas falsificadas llegaron al puerto de origen correcto. basado en las respuestas ICMP recibidas (o falta de ellas).

Este método de exploración de puertos alcanza una velocidad de exploración de 1000 puertos por segundo, lo que lleva acumulativamente un poco más de 60 segundos para enumerar todo el rango de puertos que consta de 65536 puertos. Con el puerto de origen así desaleatorio, todo lo que un atacante tiene que hacer es insertar una dirección IP maliciosa para redirigir el tráfico del sitio web y llevar a cabo con éxito un ataque de envenenamiento de caché de DNS.

Mitigación de los ataques DNS de EE. UU.

Además de demostrar formas de extender la ventana de ataque que permite a un atacante escanear más puertos y también inyectar registros no autorizados adicionales para envenenar el caché de DNS, el estudio encontró que más del 34 % de los resolutores abiertos en Internet son vulnerables, el 85 % de los cuales forman parte de servicios DNS populares como Google y Cloudflare.

Para contrarrestar el SAD DNS, los investigadores recomiendan deshabilitar las respuestas ICMP salientes y configurar el tiempo de espera de las consultas DNS de manera más agresiva.

Los investigadores también han creado una herramienta para comprobar si los servidores DNS son vulnerables a este ataque. Además, el grupo trabajó con el equipo de seguridad del kernel de Linux en un parche que aleatoriza el límite de velocidad global de ICMP para introducir ruidos en el canal lateral.

La investigación «presenta un canal secundario novedoso y general basado en [the] límite de velocidad ICMP global, implementado universalmente por todos los sistemas operativos modernos «, concluyeron los investigadores. Esto permite escaneos eficientes de puertos de origen UDP en consultas DNS. Combinado con técnicas para extender la ventana de ataque, conduce a un poderoso resurgimiento del ataque de envenenamiento de caché de DNS».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática