• INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG
HUMEDAL INFORMATIK·ZERBITZU TEKNIKOA
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG

SAD DNS: un nuevo ataque que puede hacer tambalear los cimientos de Internet

11/17/2020

 
Imagen
En 2008 Dan Kaminsky publicó uno de los fallos más graves en Internet de la historia, uno por el que cualquier atacante podía redirigir a cualquiera a otros sitios falsos, incluso si la víctima tecleaba de manera correcta dicha dirección en el navegador. Con la coordinación de toda la industria, miles de proveedores de DNS de todo el mundo llevaron a cabo una solución que evitó este escenario apocalíptico. Pero claro, si hablamos de apocalipsis 2020 es un año especial...
El pasado miércoles investigadores de las Universidades de California y Tsinghua publicaron una serie de fallos de seguridad que reviven un ataque de envenamiento de caché DNS similar al de Kaminsky: el bautizado como SAD DNS o Side-channel AttackeD DNS. El nombre de side-channel o canal lateral es porque se identifica el puerto UDP abierto por el cliente para resolver un nombre determinado ya que con eso y el ID de la transacción (TxID) se le puede enviar una respuesta falsificada. Y, ¿cómo puede identificar un atacante el puerto UDP abierto por su víctima? Veamos...

Si escaneamos un puerto UDP que está abierto no recibiremos respuesta pero si el puerto está cerrado el servidor responderá por ICMP con el mensaje de que el puerto es inalcanzable. Sin embargo, para evitar ser saturado los sistemas limitan las respuestas a 1000 por segundo en Linux o 200 por segundo en Windows. Precisamente, con esa lógica y esos límites juega este ataque: si después de una verificación de un rango de 1000 puertos (se escanean 50 puertos cada 20 ms realmente) volvemos a lanzar otra petición, esta vez con la IP no spoofeada, y nos devuelve un paquete ICMP entonces ya sabemos que uno de ellos estaba abierto. Entonces para obtener el puerto abierto evidentemente sólo necesitaremos unos 65 segundos (65536 puertos / 1000 límite x 1 segundo). voilá! 
Imagen
Con el puerto de origen identificado todo lo que un atacante tiene que hacer es insertar una dirección IP maliciosa para redirigir el tráfico del sitio web y realizar con éxito un ataque de envenenamiento de caché DNS.

Este nuevo fallo afecta a los sistemas operativos Linux (kernel 3.18-5.10), Windows Server 2019 (versión 1809) y posteriores, macOS 10.15 y posteriores, y FreeBSD 12.1.0 y posteriores. Se estima que el 34% de los resolvers abiertos en Internet son vulnerables, 85% de los cuales forman parte de servicios DNS tan populares como los de Google y Cloudflare.

Para mitigar este ataque se recomienda deshabilitar las respuestas ICMP salientes y configurar el tiempo de espera de las consultas de DNS de manera más agresiva. Por otro lado, el parche del kernel lo que hace es que no haya un valor fijo de 1000 respuestas por segundo, sino de un valor aleatorio de entre 500 y 2000.
Fuentes:
  • Paper: https://dl.acm.org/doi/pdf/10.1145/3372297.3417280
  • SAD DNS — New Flaws Re-Enable DNS Cache Poisoning Attacks
  • How to temporarily mitigate SAD DNS for Linux servers and desktops
  • SAD DNS Explained

Los comentarios están cerrados.

    Autor

    HUMEDAL INFORMATIK
    zerbitzu teknikoa
    servicios informàticos

    Imagen

    Archivos

    Abril 2021
    Marzo 2021
    Febrero 2021
    Enero 2021
    Diciembre 2020
    Noviembre 2020
    Octubre 2020
    Septiembre 2020
    Agosto 2020
    Julio 2020
    Junio 2020
    Mayo 2020
    Abril 2020
    Marzo 2020
    Febrero 2020
    Enero 2020
    Diciembre 2019
    Noviembre 2019
    Octubre 2019
    Septiembre 2019
    Agosto 2019
    Julio 2019
    Junio 2019
    Mayo 2019
    Abril 2019
    Noviembre 2018
    Octubre 2018
    Agosto 2018
    Julio 2018
    Mayo 2018
    Abril 2018
    Marzo 2018
    Febrero 2018
    Enero 2018
    Diciembre 2017
    Noviembre 2017
    Octubre 2017
    Septiembre 2017
    Julio 2017
    Junio 2017
    Mayo 2017

    Categorías

    Todos
    5G
    Kuriositateak
    Mundo 3D
    Ordenagailuak
    Segurtasuna
    Software Libre

    Fuente RSS

NON GAUDEN·DONDE ESTAMOS

humedalinformatik@gmail.com                               tlf: 945 770 617·688 844 108                   Bulevar de Salburua 5            Vitoria·Gasteiz        Euskal Herria
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG