Deficiencias en el protocolo de DNS, hacen necesario actualizar parches de múltiples implementaciones del protocolo.

La vulnerabilidad fue descubierta accidentalmente hace 6 meses, por Dan Kaminsky, mientras realizaba trabajos de investigación. Al tratarse de una vulnerabilidad de alto impacto, los gigantes de internet han estado trabajando en silencio, hasta ahora, ya con el parche en mano.

Permite ataques remotos por falta de entropía. La solución fue usar un generador aleatorio para el identificador de transacción y el puerto origen, en lugar de fijarlo a UDP 53.

DNS Spoofing es la suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio - IP" ante una consulta de resolución de nombre. Esto es, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Se consigue falseando las entradas de la relación Nombre de dominio - IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables.
Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el caché DNS de otro servidor diferente, es lo que se denomina: DNS Poisoning.


Afecta BIND 8 y 9, Windows 2000 en adelante server y cliente, Solaris 8 en adelante, CISCO y largo etcetera, con honrosas y escasas excepciones.

Ver: http://www.kb.cert.org/vuls/id/800113

Chequea tu DNS: http://doxpara.com/


http://securosis.com/2008/07/08/dan-kami...-released/

http://securosis.com/publications/DNS-Ex...erview.pdf

http://www.isc.org/index.pl?/sw/bind/bind-security.php

Este mensaje fue modificado por última vez en: 07-10-2008 04:35 AM por p_eter.

Kaminsky se había reusado a dar mayores detalles (hasta blackhat ) y permitir que los usuarios de DNSs tuvieran unos 30 días para aplicar los patches a sus servidores. Pero esos treinta días sólo fueron 13.

Alrededor de la mitad de los DNSs no fueron patcheados porque no existía una explotación o ataque válido, pero ya lo hay y, está disponible en el framework Metasploit.

“El ataque ya cuenta con el armamento necesario y hay que aplicar los patches, eso es lo importante.” dijo Kaminsky. El investigador informa que a la fecha julio 24, un 52% de los DNS seguían siendo vulnerables. Pero no todos los DNS corren peligro. La brecha sólo afecta a los servidores DNS conocidos como recursivos y que proveen búsqueda de información de dominios. Los autoritarios como los que tienen la infraestructura central de VeriSign o los de proveedores de dominios como GoDaddy, no están en peligro.

Esta es la sacudida más grande de la historia de internet, para superarla hay que emparchar, Todos los DNS vulnerables.

Este mensaje fue modificado por última vez en: 08-11-2008 11:30 AM por p_eter.

Se sabía que el parche no era la mejor solución, solo un paleativo temporal, que duró poco:
El viernes pasado, Evgeniy Polyakov demostró cómo un servidor DNS corriendo BIND con la última versión perfectamente parcheada continúa siendo vulnerable al envenenamiento de la caché, sólo que ahora requiere un poco más de tiempo explotarla.

Polyakov dice que DNSSEC tampoco es la solución, aunque podría ser un alivio más duradero. Sin embargo otros expertos opinan que su seguridad es sorprendentemente baja y su funcionamiento mucho más lento y pesado.

Successfully poisoned the latest BIND with fully randomized ports! (exploit)

An Illustrated Guide to the Kaminsky DNS Vulnerability
http://www.kriptopolis.org/el-pache-dns-...l-problema
http://www.nytimes.com/2008/08/09/techno...ref=slogin