Um grupo de acadêmicos da Universidade da Califórnia e da Universidade Tsinghua descobriram uma série de falhas críticas de segurança que podem levar a um renascimento dos ataques de envenenamento de cache DNS.Chamada de "ataque SAD DNS" (abreviação de Side-channel AttackeD DNS), a técnica permite que um agente malicioso execute um ataque fora do caminho, redirecionando qualquer tráfego originalmente destinado a um domínio específico para um servidor sob seu controle, permitindo-lhes escutar e adulterar as comunicações.
"Isso representa um marco importante - o primeiro ataque de canal lateral de rede que pode ser armado e tem sérios impactos de segurança", disseram os pesquisadores. "O ataque permite que um invasor off-path injete um registro DNS malicioso em um cache DNS."
Identificado como CVE-2020-25705, os resultados foram apresentados na Conferência ACM sobre Segurança de Computadores e Comunicações (CCS '20) realizada esta semana.
A falha afeta os sistemas operacionais Linux 3.18-5.10, Windows Server 2019 (versão 1809) e mais recente, macOS 10.15 e mais recente e FreeBSD 12.1.0 e mais recente.
Os resolvedores de DNS normalmente armazenam em cache as respostas às consultas de endereço IP por um período específico como um meio de melhorar o desempenho da resposta em uma rede. Mas esse mesmo mecanismo pode ser explorado para envenenar os caches, personificando as entradas DNS do endereço IP de um determinado site e redirecionando os usuários que tentam visitar esse site para outro site de escolha do invasor.
No entanto, a eficácia de tais ataques foi afetada em parte devido a protocolos como DNSSEC (Domain Name System Security Extensions), que cria um sistema de nomes de domínio seguro ao adicionar assinaturas criptográficas aos registros DNS existentes e defesas baseadas em randomização que permitem o DNS resolvedor para usar uma porta de origem e ID de transação (TxID) diferente para cada consulta.
Observando que as duas medidas de mitigação ainda estão longe de serem amplamente implementadas devido a razões de "incentivos e compatibilidade", os pesquisadores disseram que planejaram um ataque de canal lateral que pode ser usado com sucesso contra as pilhas de software de DNS mais populares, tornando assim resolvedores de DNS públicos como o 1.1.1.1 do Cloudflare e o 8.8.8.8 do Google vulneráveis.
O ataque SAD DNS funciona fazendo uso de uma máquina comprometida em qualquer rede que seja capaz de acionar uma solicitação de um encaminhador ou resolvedor DNS, como uma rede sem fio pública gerenciada por um roteador sem fio em um café, um shopping center ou um aeroporto.
Em seguida, ele aproveita um canal lateral na pilha de protocolo de rede para verificar e descobrir quais portas de origem são usadas para iniciar uma consulta DNS e, subsequentemente, injetar um grande número de respostas DNS falsificadas por força bruta dos TxIDs.Mais especificamente, os pesquisadores usaram um canal usado nas solicitações de nome de domínio para restringir o número exato da porta de origem, enviando pacotes UDP falsificados, cada um com endereços IP diferentes, para um servidor vítima e inferir se as sondagens falsificadas atingiram a porta de origem correta com base nas respostas ICMP recebidas (ou na falta delas).
Este método de varredura de porta atinge uma velocidade de varredura de 1.000 portas por segundo, levando cumulativamente um pouco mais de 60 segundos para enumerar todo o intervalo de portas que consiste em 65536 portas. Com a porta de origem assim desrandomizada, tudo o que um invasor precisa fazer é inserir um endereço IP malicioso para redirecionar o tráfego do site e executar um ataque de envenenamento de cache DNS.
Mitigação do Ataque
Além de demonstrar maneiras de estender a janela de ataque que permite a um invasor verificar mais portas e também injetar registros adicionais para envenenar o cache DNS, o estudo descobriu que mais de 34% dos resolvedores abertos na Internet são vulneráveis, 85% dos quais composto de serviços DNS populares como Google e Cloudflare.
Para combater o SAD DNS, os pesquisadores recomendam desabilitar as respostas ICMP de saída e definir o tempo limite das consultas DNS de forma mais agressiva.
Os pesquisadores também criaram uma ferramenta para verificar os servidores DNS vulneráveis a esse ataque. Além disso, o grupo trabalhou com a equipe de segurança do kernel do Linux para um patch que randomiza o limite de taxa global ICMP para introduzir ruídos no canal lateral.
A pesquisa "apresenta um canal lateral novo e geral baseado no limite de taxa global de ICMP, implementado universalmente por todos os sistemas operacionais modernos", concluíram os pesquisadores. "Isso permite varreduras eficientes de portas de origem UDP em consultas DNS. Combinado com técnicas para estender a janela de ataque, leva a um poderoso renascimento do ataque de envenenamento de cache DNS."
