Code d'attaque publié pour une nouvelle attaque DNS

exploite une faille récemment révélée dans le logiciel DNS (Domain Name System) utilisé pour acheminer les messages entre ordinateurs sur Internet

Le code d'attaque a été publié mercredi par les développeurs de la boîte à outils de piratage Metasploit.

code peut donner aux criminels un moyen de lancer des attaques de phishing virtuellement indétectables contre les utilisateurs Internet dont les fournisseurs de services n'ont pas installé les derniers correctifs de serveur DNS

[Plus d'informations: Les meilleures boîtes NAS pour le streaming multimédia et la sauvegarde] le code pour rediriger silencieusement les utilisateurs vers de faux serveurs de mise à jour logicielle afin d'installer des logiciels malveillants sur leurs ordinateurs, a déclaré Zulfikar Ramizan, un directeur technique du fournisseur de sécurité Symantec.

Le bug a d'abord été révélé par le chercheur d'IOActive, Dan Kaminsky, plus tôt ce mois-ci, mais les détails techniques de la faille ont été révélés. fuite sur Internet plus tôt cette semaine, rendant le code Metasploit possible. Kaminsky avait travaillé pendant plusieurs mois avec les principaux fournisseurs de logiciels DNS tels que Microsoft, Cisco et Internet Systems Consortium (ISC) pour trouver une solution au problème. Les utilisateurs d'entreprise et les fournisseurs de services Internet qui sont les principaux utilisateurs de serveurs DNS ont depuis le 8 juillet pour corriger la faille, mais beaucoup n'ont pas encore installé le correctif sur tous les serveurs DNS.

L'attaque est une variante de ce qu'on appelle une attaque d'empoisonnement du cache. Cela a à voir avec la manière dont les clients et les serveurs DNS obtiennent des informations d'autres serveurs DNS sur Internet. Lorsque le logiciel DNS ne connaît pas l'adresse IP numérique (Internet Protocol) d'un ordinateur, il demande à un autre serveur DNS cette information. Avec l'empoisonnement du cache, l'attaquant fait croire au logiciel DNS que des domaines légitimes, tels que idg.com, sont mappés à des adresses IP malveillantes.

Dans l'attaque de Kaminsky, une tentative d'empoisonnement du cache inclut également des données "Additional Resource Record".. En ajoutant ces données, l'attaque devient beaucoup plus puissante, disent les experts en sécurité.

Un attaquant pourrait lancer une telle attaque contre les serveurs de noms de domaine d'un FAI (Internet Service Provider) et les rediriger vers des serveurs malveillants. En empoisonnant l'enregistrement du nom de domaine pour www.citibank.com, par exemple, les attaquants pouvaient rediriger les utilisateurs du FAI vers un serveur d'hameçonnage malveillant chaque fois qu'ils essayaient de visiter le site bancaire avec leur navigateur Web.

Lundi, compagnie de sécurité Matasano a accidentellement publié les détails de la faille sur son site Web. Matasano a rapidement enlevé le poste et s'est excusé pour son erreur, mais il était trop tard. Les détails de la faille se sont rapidement répandus sur Internet.

Bien qu'un correctif logiciel soit désormais disponible pour la plupart des utilisateurs de logiciels DNS, il peut falloir du temps pour que ces mises à jour puissent être installées sur le réseau.

"La plupart des gens n'ont pas encore patché", a déclaré le président de l'ISC, Paul Vixie, dans une interview par e-mail plus tôt cette semaine. "C'est un problème gigantesque pour le monde."

Le code de Metasploit semble "très réel", et utilise des techniques qui n'étaient pas documentées auparavant, dit Amit Klein, directeur de la technologie chez Trusteer.

Il sera probablement utilisé dans les attaques, il a prédit. "Maintenant que l'exploit est là, combiné avec le fait que tous les serveurs DNS n'ont pas été mis à jour … les attaquants devraient être capables d'empoisonner le cache de certains FAI", écrit-il dans une interview par e-mail. "La chose est - nous ne pouvons jamais savoir à propos de telles attaques, si les attaquants … travaillent soigneusement et couvrent leurs voies correctement."