Les chercheurs découvrent une nouvelle vulnérabilité DNS avec des capacités d'espionnage à l'échelle nationale - TechRobot

Les chercheurs découvrent une nouvelle vulnérabilité DNS avec des capacités d’espionnage à l’échelle nationale

Récemment, une nouvelle vulnérabilité DNS a été découverte. Selon les chercheurs, cette faille peut donner aux pirates des capacités d’espionnage dignes d’un État-nation et accéder à des informations sur les réseaux personnels et d’entreprise. Cette vulnérabilité a des impacts majeurs sur les fournisseurs de DNS en tant que service.

Des chercheurs de Wiz, une entreprise de sécurité d’infrastructure cloud, ont examiné la vulnérabilité via un Amazon Route 53 et ont découvert la méthode d’attaque. Ils ont déclaré : « Nous avons trouvé une faille simple qui nous a permis d’intercepter une partie du trafic DNS dynamique mondial passant par des fournisseurs de DNS gérés comme Amazon et Google ».

Les chercheurs ont affirmé que la faille peut affecter des agences privées et gouvernementales dans le monde entier. « Le trafic DNS dynamique que nous avons ‘intercepté’ provenait de plus de 15 000 organisations, incluant des entreprises du Fortune 500, 45 agences gouvernementales américaines, et 85 agences gouvernementales internationales, » a déclaré Wiz.

De plus, le piratage pourrait conduire à des attaques de détournement de DNS. La recherche montre qu’il est possible de lier un nom de domaine (tel que amazonaws.com) à un compartiment Amazon S3 (dont l’hôte se trouve dans Route 53) puis de créer un enregistrement de modification et de l’associer à un nom de domaine. Cela permet à un attaquant de rediriger le trafic depuis son propre nom de domaine, contournant ainsi les protections mises en place par AWS. 

« Chaque fois qu’un client DNS interroge ce serveur de noms sur lui-même (ce que des milliers d’appareils font automatiquement pour mettre à jour leur adresse IP au sein de leur réseau géré – plus de détails dans une minute), ce trafic est directement acheminé vers notre adresse IP, » ont déclaré les chercheurs de Wiz.

Impact potentiel de la nouvelle vulnérabilité DNS 

Selon le test effectué, les chercheurs de Wiz auraient reçu du trafic DNS de plus de 15 000 organisations. Les données qu’ils ont reçues incluaient des adresses IP, des emplacements de bureaux et des noms d’utilisateur.

Les chercheurs disent que le problème est lié à un algorithme que les appareils Windows utilisent pour trouver et mettre à jour un serveur DNS maître lorsque les adresses IP changent. « [Le trafic divulgué] donne à quiconque une vue d’ensemble de ce qui se passe à l’intérieur des entreprises et des gouvernements. Nous comparons cela à avoir une capacité d’espionnage de niveau étatique, et l’obtenir était aussi simple que d’enregistrer un domaine, » ont déclaré les chercheurs de Wiz.

L’impact potentiel d’une cyber-attaque a été démontré lorsque les chercheurs ont utilisé les données récoltées à partir du trafic de plus de 40 000 serveurs pour cartographier où vivent les employés d’une grande entreprise de services.

Les données reçues incluaient également des détails sur les employés et des informations sensibles sur l’infrastructure de l’organisation. Avec les informations trouvées sur la majorité des sites web d’entreprises, un acteur de menace peut tout avoir — un aperçu de tous les employés, des emplacements, des structures et d’autres éléments qui pourraient être utilisés pour compromettre un réseau.

Les chercheurs à Black Hat ont déclaré : « L’impact est énorme. Parmi les six principaux fournisseurs de DNSaaS que nous avons examinés, trois étaient vulnérables à l’enregistrement de serveurs de noms. Tout fournisseur de cloud, registraire de domaine et hébergeur de site web qui fournit du DNSaaS pourrait être vulnérable. »

Les chercheurs ont ajouté qu’il n’y a aucune preuve que la vulnérabilité DNS ait été exploitée auparavant dans la nature. Cependant, toute personne ayant connaissance de celle-ci et possédant certaines compétences aurait pu en abuser pendant plus d’une décennie.

Réparer la vulnérabilité DNS

Après avoir été informés, Amazon et Google ont corrigé la faille. Cependant, les chercheurs de Wiz estiment que d’autres fournisseurs DNS pourraient être vulnérables et pourraient exposer des millions de personnes à l’attaque.

Les chercheurs ont également informé Microsoft, mais ils ont répondu en disant que c’était une « mauvaise configuration connue qui se produit lorsqu’une organisation travaille avec des résolveurs DNS externes », et non une vulnérabilité.

Depuis que Microsoft, qui peut ajuster l’algorithme DNS dynamique, affirme déjà que ce n’est pas une vulnérabilité. Il est donc incertain de savoir qui devrait corriger ce bug DNS critique. 

Wiz dit que les fournisseurs de services pourraient prendre certaines mesures pour prévenir les fuites de données et les attaques DDOS. Les organisations peuvent prévenir les fuites de données en configurant correctement leurs résolveurs DNS.

La recommandation de Redmond est d’utiliser différents noms et zones DNS pour les hôtes internes et externes et de suivre les instructions sur la manière de configurer correctement les Mises à Jour Dynamiques dans Windows. Cela réduira le risque de conflits et facilitera la résolution automatique des paramètres DNS par les ordinateurs de votre réseau local.

Les fournisseurs de DNS gérés peuvent également résoudre le problème du détournement de DNS en vérifiant et validant les domaines avant de demander aux clients de les enregistrer. De plus, ils peuvent suivre la spécification des « noms réservés » du RFC pour l’éviter.

Les entreprises avec des serveurs DNS loués peuvent prévenir les fuites sur leur trafic réseau internet en mettant à jour leur DNS dynamique et en modifiant l’enregistrement Start-of-Authority (SOA) par défaut.

Conclusion

Les chercheurs de Wiz ont découvert une nouvelle faille DNS qui peut causer des attaques par déni de service distribué (DDOS). Elle a été testée et prouvée capable d’espionnage à l’échelle d’un État-nation. La faille peut affecter les entreprises, les individus ainsi que les agences gouvernementales. Elle peut divulguer des informations sensibles sur les employés et perturber les activités commerciales. Amazon et Google ont corrigé le problème sur leur système, mais Microsoft insiste sur le fait qu’il n’y a pas de vulnérabilité. 

Les chercheurs de Wiz ont conseillé aux organisations de mettre à jour leur DNS et de prendre au sérieux la cybersécurité pour prévenir les attaques par déni de service distribué (DDOS).