Seguridad

Se filtra error de DNS: Ya hay formas de explotarlo

Fantástico… Como si no hubieran suficientes amenazas en la red, ahora una falla en el DNS, el mecanismo que hace que puedas teclear una dirección de un sitio en vez de un montón de números sin sentido, se ha filtrado a la red. El filtrado de este error lo hizo una compañía de seguridad por equivocación (me atrevo a decir que sus clientes van a empezar a irse… ) al publicar un artículo en su sitio, una situación desafortunada, pues dicha falla se había mantenido en secreto por el descubridor de la misma, Dan Kaminsky, y con justa razón.

El fallo que descubrió Kaminsky usa otras fallas conocidas en el sistema DNS, pero las usa en una forma "novedosa" (término que uso con mucha reserva). Al parecer, el error tiene que ver con la forma en que los clientes y servidores DNS obtienen información de otros servidores DNS en internet: Cuando un servidor DNS no conoce la IP de una computadora, le pregunta a otro servidor DNS. Al usar envenenamiento de caché, el atacante puede engañar al software DNS de modo que crea que sitios legítimos apuntan hacia direcciones IP malignas, seguramente para intentos de infección y phishing.

Por si no fuera ya suficientemente malo, el ataque que descubrió Kaminsky tiene una variante, que al usarla convierte al ataque en uno todavía más poderoso. Ahora que la información sobre datos del ataque se ha filtrado, dos investigadores de seguridad tienen ataques funcionales que pueden envenenar sistemas de dominio de nombres que sean vulnerables, y aparte el ataque se ha incluido en Metasploit, una herramienta de seguridad, que prueba penetraciones en redes de computadoras. Así que técnicamente, todos pueden penetrar en un servidor vulnerable ahora.

No se trata de querer generar caos, pero esto podría convertirse en un problema mayúsculo si no se empieza a trabajar en soluciones pronto: No hablo de un problema de infecciones o de phishing o cosas por el estilo, sino de un problema de confianza; la gente no confiará en Internet, mucho menos de lo que lo hace ahora: ¿Quién les asegurará que en realidad están visitando www.banamex.com? Si lo piensan un momento, es bastante serio.

Al momento de escribir esto, ambas pruebas de la falla funcionan sólo en servidores de cacheo, usados por proveedores de servicios y otras grandes empresas, pero se ha dicho que pueden modificarse de modo que funcionen con clientes. Aún faltan muchas empresas por liberar parches para sus aplicaciones; una de las que ya lo hizo, sorprendentemente, fue Microsoft, durante la semana pasada. Pero aún faltan muchos por hacerlo. Puedes verificar si sufres la vulnerabilidad visitando este enlace, y haciendo clic en el botón que dice "Check my DNS".

Más del mismo autor en orlandoalonzo.com.mx. Artículo amparado con Licencia Creative Commons Reconocimiento 2.5.


En barrapunto.com Manuel Benet nos cuenta:

«Según parece, a pesar de los intentos de Dan Kaminsky porque el último problema de seguridad del DNS quedase en secreto hasta la conferencia de Black Hat en agosto, se han publicado detalles más que suficientes sobre el problema. El título de Kaminsky en su blog DoxPara Research, "13>0", hace referencia al parecer a los 13 días que todavía tendrían los administradores para parchear sus sistemas si la vulnerabilidad no hubiese sido descubierta (disclosed). Matasano se adelantó, a pesar del acuerdo que habían alcanzado con Kaminsky, y eliminando posteriormente la entrada, aunque ésta se encuentra en Google, en Slashdot y en muchos otros sitios. Digamos que hay una salsa rosa nada despreciable detrás del ataque.»
Más detalles en la página ampliada.

«La idea básica del ataque, que puede considerarse a estas alturas de dominio público, es la combinación de DNS Forgery y DNS RRset poisoning. Se trata de conseguir, mediante la repetición de peticiones, que un servidor DNS acepte como respuesta legítima una respuesta ilegítima de nivel 3, y que ésta incluya información sobre la IP de otros dominios de nivel 3 del mismo dominio de nivel 2. En otras palabras, si se consigue que el servidor acepte como válido un paquete que le dice que xhstrn.google.com tiene como IP 1.2.3.4, aceptará como válida cualquier información adicional sobre google.com: www.google.com, mail.google.com, etc. Fascinante.»

Barrapunto.com: Licencia Creative Commons Reconocimiento 2.5.


Nota del editor: Si no está seguro de contar con la protección adecuada ante la amenaza descrita arriba y otros potenciales peligros relacionados con el DNS, recomendamos considerar la utilización de OpenDNS.

Fuente: Orlando Alonzo – orlandoalonzo.com.mx

Publicaciones relacionadas

Botón volver arriba