tidav
Co-Administrateur
Messages : 1 293
Inscrit le : 29/05/2005
Sexe : 
Pays : 
Statut : Hors Ligne
|
 Faille de sécurité critique des serveurs DNS
 Posté le 25/08/2008 16:38 | |
| |
Certains l'avaient peut-être remarqué en lisant cette article concernant le bulletin de sécurité publié par microsoft [ Lien ], les serveurs DNS connaissent une faille de sécurité plutôt importante.
Ceci n'est pas nouveau, la sécurité des serveurs DNS n'a jamais été à toute épreuve, mais cette faille révélée par Dan Kaminsky est très critique du fait que malgré les patchs, elle est toujours exploitable.
Petite explication, pour ceux qui ne le savent pas, un serveur DNS (Domain Name System) permet d'associé un nom de domaine à une adresse IP, de faire des redirection, de définir le serveur de messagerie... Dans la plupart des cas dire que www.messlive.net. correspond à l'adresse IP 213.186.33.4
De plus, chaque serveur DNS ne contient pas toutes les informations d'Internet, il contient seulement les informations d'un petit nombre de domaine et lorsqu'il s'agit d'un nom de domaine qu'il ne connaît pas interroge les autres serveurs DNS afin d'obtenir les informations nécessaires et les stocke ensuite en cache pour une durée déterminée (ttl). Pour cette raison, certains serveurs DNS ne sont pas à jour.
La technique qui exploite la faille permet de mettre en cache de fausse information pour la résolution d'un nom de domaine, par exemple, lui faire croire que www.messlive.net. a pour adresse IP 1.2.3.4
S'il possède ce serveur, il peut mettre en place un faux site, récupérer des mails... afin d'obtenir des informations sensibles.
Comment celà se passe-t-il ? Je ne vais pas donner tous les détails techniques et les différentes méthodes (mais elles sont extrêment simple avec un minimum de connaissance en programmation réseau), juste le principe "général".
La personne voulant tromper le serveur va envoyer une requête UDP au serveur DNS pour un nom de domaine, le serveur DNS va envoyé une demande aux autres serveurs DNS, et le pirate va tenter d'envoyer les fausses réponses avant que le serveur ne recoive la réponse des serveurs DNS légitimes. En automatisant la procédure, on peut espérer envoyer une vingtaine de fausses réponses dans l'intervalle.
En fait celà représente donc 20/65536 chances de faire mouche (environ 0,03%), celà est faible mais non négligeable si l'on répête l'opération un grand nombre de fois. Ceci vient du fait que le seul champ inconnu pour forger le paquet de réponse est le TXID qui doit être le même que celui que le serveur a envoyé lors de sa requête aux véritables serveurs DNS pour résoudre le nom de domaine, qui est codé sur 16bits soit 65536 possibilités.
La réponse UDP envoyée par le pirate contient (en hexadecimale) les informations suivantes.
- toto.messlive.net is a CNAME of IN Class for www.messlive.net
- www.messlive.net is an A of IN Class for IP 1.2.3.4
En gros, dire que toto.messlive.net redirige vers www.messlive.net et que www.messlive.net a pour adresse IP 1.2.3.4 (en utilisant un nom de domaine inexistant, celà permet qu'aucune information ne soit mise en cache tant que l'on n'a pas réussi l'attaque, ce qui obligerait à attendre. Ensuite l'utilisation du CNAME permet de mettre à jour l'adresse IP du domaine www.messlive.net si celle-ci était déjà en cache).
De plus le pirate fera en sorte que l'information reste plusieurs centaines d'heures en cache.
Des patchs ont été publiés pour les différents systèmes d'exploitation des serveurs DNS [ Lien ], mais ceux-ci ne sont qu'un "retardateur". En effet, avant les serveurs DNS écoutaient sur un seul port pour recevoir les réponses. Avec ces patchs, le serveur DNS définit un port aléatoire pour obtenir la réponse. Le pirate aura donc aussi à trouver, en plus du TXID, le port, ce qui augmente la difficulté à 20/(65536^2) chances de faire mouche (0,0000005%). Très faible certes, mais une fois automatisé, il suffit juste d'être patient.
L'intérêt dans tout ça ? Pour un site de commerce, pirater les transactions bancaires. Dans l'industrie, intercepter les mails des entreprises. Obtenir les identifiants bancaires sur les sites des banques... Enfin je laisse votre imagination faire.
 | Pour les personnes possédant un serveurs DNS personnel, je vous conseille d'appliquer le patch et si vous êtes motivés, d'installer un DNSSEC qui se base sur des certificats afin de garantir les informations des noms de domaine et donc éviter cette attaque. |
| Pour les autres, je vous recommande d'être prudent lors de la navigation, en particulier sur les sites sensibles cités au dessus. Les petits détails qui changent, le certificat du site qui ne semble pas le bon (avertissement par le navigateur) doivent vous alerter. Ne sombrez pas dans la paranoïa mais sachez que le risque existe.
La plupart des FAI ont mis à jour leur serveur DNS avec le patch, vous pouvez cependant le vérifier en effectuant le test de ce site (qui teste le serveur DNS utilisé par votre navigateur) : [ Lien ]. |
Bref soyez vigilants 
|
| Edité par tidav le 26/08/2008 00:01 |
 |
|
