Pesquisadores Descobrem Nova Vulnerabilidade no DNS com Capacidades de Espionagem de Estado-Nação - TechRobot

Pesquisadores Descobrem Nova Vulnerabilidade no DNS com Capacidades de Espionagem de Estado-Nação

Recentemente, uma nova vulnerabilidade DNS foi descoberta. De acordo com pesquisadores, a falha pode dar a hackers capacidades de espionagem de nível nacional e acesso a informações em redes pessoais e corporativas. Essa vulnerabilidade tem grandes impactos nos provedores de DNS como Serviço.

Pesquisadores da Wiz, uma empresa de segurança de infraestrutura de nuvem, examinaram a vulnerabilidade por meio do Amazon Route 53 e descobriram o método de ataque. Eles disseram, “Encontramos uma brecha simples que nos permitiu interceptar uma parte do tráfego dinâmico de DNS mundial que passava por provedores de DNS gerenciados como Amazon e Google”.

Os pesquisadores afirmaram que a falha pode afetar agências privadas e governamentais em todo o mundo. “O tráfego de DNS dinâmico que nós ‘interceptamos’ veio de mais de 15.000 organizações, incluindo empresas da Fortune 500, 45 agências governamentais dos EUA e 85 agências governamentais internacionais,” afirmou a Wiz.

Além disso, o hack poderia levar a ataques de sequestro de DNS. A pesquisa mostra que é possível vincular um nome de domínio (como amazonaws.com) a um bucket do Amazon S3 (cujo host reside no Route 53) e, em seguida, criar um registro de alteração e associá-lo a um nome de domínio. Isso permite que um atacante redirecione o tráfego de seu próprio nome de domínio, contornando as proteções implementadas pela AWS.

“Sempre que um cliente DNS consulta este servidor de nomes sobre si mesmo (o que milhares de dispositivos fazem automaticamente para atualizar seu endereço IP dentro de sua rede gerenciada – mais sobre isso daqui a pouco), esse tráfego é direcionado diretamente para o nosso endereço IP,” afirmaram os pesquisadores da Wiz.

Impacto Potencial da Nova Vulnerabilidade DNS 

Com base no teste realizado, os Pesquisadores da Wiz supostamente receberam tráfego DNS de mais de 15.000 organizações. Os dados recebidos incluíam endereços IP, localizações de escritórios e nomes de usuário.

Os pesquisadores dizem que o problema está relacionado a um algoritmo que dispositivos Windows usam para encontrar e atualizar um servidor DNS mestre quando os endereços IP mudam. “[O tráfego vazado] dá a qualquer pessoa uma visão panorâmica do que está acontecendo dentro de empresas e governos. Nós comparamos isso a ter uma capacidade de espionagem a nível de estado-nação, e obtê-la foi tão fácil quanto registrar um domínio,” afirmaram os pesquisadores da Wiz.

O impacto potencial de um ciberataque foi demonstrado quando os pesquisadores utilizaram os dados coletados do tráfego de mais de 40.000 servidores para mapear onde moram os funcionários de uma grande empresa de serviços.

Os dados recebidos também incluíam detalhes dos funcionários e informações sensíveis sobre a infraestrutura da organização. Com as informações encontradas na maioria dos sites corporativos, um agente de ameaças pode ter tudo — uma visão geral de todos os funcionários, locais, estruturas e outras coisas que poderiam ser usadas para violar uma rede.

Pesquisadores na Black Hat disseram, “O impacto é enorme. Dos seis principais provedores de DNSaaS que examinamos, três estavam vulneráveis ao registro de nameserver. Qualquer provedor de nuvem, registrador de domínio e hospedeiro de site que forneça DNSaaS poderia estar vulnerável.”

Os pesquisadores acrescentaram que não há evidências de que a vulnerabilidade DNS tenha sido explorada anteriormente em ambiente real. No entanto, qualquer pessoa com conhecimento sobre ela e algumas habilidades poderia ter abusado dela por mais de uma década.

Corrigindo a Vulnerabilidade DNS

Após serem notificados, Amazon e Google corrigiram a falha. No entanto, os pesquisadores da Wiz acreditam que outros provedores de DNS podem ser vulneráveis e expor milhões ao ataque.

Os pesquisadores também notificaram a Microsoft, mas eles responderam dizendo que era uma “má configuração conhecida que ocorre quando uma organização trabalha com resolvedores DNS externos”, e não uma vulnerabilidade.

Desde que a Microsoft, que pode ajustar o algoritmo de DNS dinâmico, já afirmou que isso não é uma vulnerabilidade. Portanto, não está claro quem deve corrigir esse bug crítico de DNS.

Wiz diz que os provedores de serviço podem tomar algumas medidas para prevenir vazamento de dados e ataques DDOS. As organizações podem prevenir o vazamento de dados configurando adequadamente seus resolvedores DNS.

A recomendação de Redmond é usar diferentes nomes e zonas DNS para hosts internos e externos e seguir as instruções sobre como configurar corretamente Atualizações Dinâmicas no Windows. Isso reduzirá o risco de conflitos e facilitará para os computadores na sua rede local resolverem suas configurações de DNS automaticamente.

Os provedores de DNS gerenciado também podem resolver o problema de sequestro de DNS verificando e validando domínios antes de pedir aos clientes para registrá-los. Além disso, eles podem seguir a especificação de “nomes reservados” do RFC para preveni-lo.

Empresas com servidores DNS alugados podem prevenir vazamentos em seu tráfego de rede de internet atualizando seu DNS dinâmico e modificando o registro padrão de Start-of-Authority (SOA).

Conclusão

Pesquisadores da Wiz descobriram uma nova falha no DNS que pode causar ataques de DDOS. Foi testada e comprovada a capacidade de espionagem por estados-nação. A falha pode afetar empresas, indivíduos, bem como agências governamentais. Pode liberar informações sensíveis sobre funcionários e interromper negócios. Amazon e Google corrigiram o problema em seus sistemas, mas a Microsoft insiste que não há vulnerabilidade.

Pesquisadores da Wiz aconselharam as organizações a atualizarem seus DNS e levarem a cibersegurança a sério para prevenir ataques de DDOS.