SAD DNS: los nuevos defectos vuelven a habilitar los ataques de envenenamiento de la caché de DNS

Un grupo de académicos de la Universidad de California y la Universidad de Tsinghua ha descubierto una serie de fallas de seguridad críticas que podrían conducir a una reactivación de los ataques de envenenamiento de caché de DNS.

Apodado » ataque SAD DNS » (abreviatura de DNS AttackeD de canal lateral), la técnica hace posible que un actor malintencionado lleve a cabo un ataque fuera de ruta, redireccionando cualquier tráfico originalmente destinado a un dominio específico a un servidor bajo su control, lo que les permite espiar y manipular las comunicaciones.

Con el seguimiento de CVE-2020-25705, los hallazgos se presentaron en la Conferencia ACM sobre seguridad informática y de comunicaciones (CCS ’20) celebrada la semana pasada.

La falla afecta a los sistemas operativos Linux 3.18-5.10, Windows Server 2019 (versión 1809) y posteriores, macOS 10.15 y posteriores, y FreeBSD 12.1.0 y posteriores.

Los reenviadores de DNS se convierten en una nueva superficie de ataque

Los solucionadores de DNS suelen almacenar en caché las respuestas a las consultas de direcciones IP durante un período específico como un medio para mejorar el rendimiento de respuesta en una red. Pero este mismo mecanismo puede explotarse para envenenar los cachés suplantando las entradas de DNS de la dirección IP para un sitio web determinado y redirigir a los usuarios que intentan visitar ese sitio web a otro sitio de la elección del atacante.

Sin embargo, la efectividad de tales ataques se ha visto afectada en parte debido a protocolos como DNSSEC (Extensiones de seguridad del sistema de nombres de dominio) que crean un sistema de nombres de dominio seguro al agregar firmas criptográficas a los registros DNS existentes y defensas basadas en la aleatorización que permiten que el DNS resolver para usar un puerto de origen y un ID de transacción (TxID) diferentes para cada consulta.

Al señalar que las dos medidas de mitigación aún están lejos de ser ampliamente implementadas debido a razones de «incentivos y compatibilidad», los investigadores dijeron que idearon un ataque de canal lateral que se puede usar con éxito contra las pilas de software DNS más populares, lo que hace que los resolutores de DNS públicos. como el 1.1.1.1 de Cloudflare y el 8.8.8.8 de Google vulnerable.

Un nuevo ataque de canal lateral

El ataque SAD DNS funciona mediante el uso de una máquina comprometida en cualquier red que sea capaz de desencadenar una solicitud de un reenviador o resolutor de DNS, como una red inalámbrica pública administrada por un enrutador inalámbrico en una cafetería, un centro comercial o un aeropuerto.

Luego, aprovecha un canal lateral en la pila de protocolos de red para escanear y descubrir qué puertos de origen se utilizan para iniciar una consulta de DNS y, posteriormente, inyectar una gran cantidad de respuestas de DNS falsificadas mediante la fuerza bruta de los TxID.