China Netcom tombe dans l'empoisonnement du cache DNS

Selon le fournisseur de services de sécurité Websense, l'un des plus grands FAI (fournisseurs d'accès Internet) de Chine a été victime d'une vulnérabilité dangereuse dans le système d'adressage d'Internet.

La faille, qui a été décrite comme l'une des plus graves Internet, peut rediriger les internautes vers des sites Web frauduleux même si l'URL (Uniform Resource Locator) a été tapée correctement dans la barre d'adresse d'un navigateur.

Découverte par le chercheur en sécurité Dan Kaminsky, le problème est ancré dans le DNS (Système de noms de domaines). Lorsqu'un utilisateur tape une adresse Web dans un navigateur, la demande est transmise à un serveur DNS ou à un cache, ce qui renvoie l'adresse IP numérique (protocole Internet) correspondante pour un site Web.

[Plus d'informations: Comment supprimer les logiciels malveillants votre PC Windows]

Mais la faille permet au serveur DNS d'être rempli avec des informations erronées et d'orienter les utilisateurs vers des sites Web malveillants. L'attaque de China Netcom est particulièrement intéressante car elle ne touche que ceux qui ont mal orthographié certaines URL, a déclaré Carl Leonard, responsable de la recherche sur la sécurité au laboratoire européen de Websense.

Le dernier laboratoire a été découvert par le laboratoire de Websense à Beijing. leur fournisseur de services Internet, a déclaré Leonard. Websense a vu d'autres attaques DNS, mais il a choisi de le publier en raison de son exécution intéressante.

Les hackers ont trafiqué l'un des serveurs DNS de China Netcom pour rediriger uniquement les utilisateurs qui tapent, par exemple, gogle.cn que google.cn. De cette façon, moins d'utilisateurs sont dirigés vers des sites Web malveillants, mais la stratégie consiste à maintenir les attaques à un profil bas afin de ne pas attirer l'attention.

"Les auteurs de codes malveillants tentent de rester sous le radar".

Les victimes sont redirigées vers des sites Web malveillants - dont certains sont encore actifs - qui tentent d'exploiter des vulnérabilités connues dans des logiciels tels que RealPlayer, le lecteur multimédia de RealNetworks et Flash Player d'Adobe System.

Un autre exploit tente de tirer profit un problème avec un contrôle ActiveX pour Snapshot Viewer de Microsoft, utilisé pour afficher les rapports pour Microsoft Access, un programme de base de données relationnelle.

Bien qu'Adobe, Microsoft et RealPlayer aient publié des correctifs pour certaines de ces vulnérabilités, les pirates voient toujours des opportunités. «Cela nous dit que les gens n'ont pas appliqué ces correctifs», a déclaré Leonard.

Si un exploit réussit, le PC téléchargera un programme de cheval de Troie qui ferme les mises à jour pour les logiciels antivirus, dit Leonard. Websense a notifié China Netcom mais ne sait pas encore si le serveur DNS a été corrigé.

Kaminsky et d'autres chercheurs ont coordonné une campagne secrète massive avec des fournisseurs pour patcher leur logiciel DNS, mais des détails ont été divulgués le 21 juillet. Cependant, tous les FAI n'ont pas encore corrigé, ce qui met certains utilisateurs en danger. Selon Leonard, les correctifs disponibles réduisent simplement la probabilité de succès d'une attaque plutôt que de sécuriser complètement un serveur DNS contre une attaque.

"Il faut qu'une solution à plus long terme soit mise à disposition", dit Leonard. >