Mão feminina conectando cabo amarelo em modem.

Nova vulnerabilidade de DNS permite que hackers iniciem ataques em larga escala

Post disponível em / disponible en / available in: Português

Tempo de leitura: 4 minutos

Descoberta levou dezenas de empresas a atualizarem seus sistemas, evitando eventuais problemas no futuro.

Pesquisadores israelenses divulgaram detalhes sobre uma nova falha no protocolo DNS que pode ser explorada para criar ataques de negação de serviço (DDoS) em larga escala. Chamada de NXNSAttack, a falha depende do mecanismo de delegação de DNS para forçar os resolvedores de DNS a gerar mais consultas DNS para servidores autoritativos da escolha do invasor, interrompendo as atividades.

“Mostramos que o número de mensagens DNS trocadas em um processo típico de resolução pode ser muito maior na prática do que o esperado na teoria, principalmente devido a uma resolução proativa dos endereços IP dos servidores de nomes”, disseram os pesquisadores. “Mostramos como essa ineficiência se torna um gargalo, e pode ser usada para montar um ataque devastador contra resolvedores recursivos e servidores autorizados”.

Após a divulgação, várias empresas – incluindo PowerDNS (CVE-2020-10995), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn de propriedade da Oracle, Verisign e IBM – corrigiram seus softwares para solucionar o problema.

A infraestrutura de DNS já havia sido alvo de uma série de ataques DDoS por meio da famosa botnet Mirai, incluindo aqueles contra o serviço DNS Dyn em 2016, prejudicando alguns dos maiores sites do mundo, como Twitter, Netflix, Amazon e Spotify.

O método

Uma pesquisa DNS recursiva ocorre quando um servidor DNS se comunica com vários servidores DNS autoritativos em uma sequência hierárquica para localizar um endereço IP associado a um domínio (por exemplo, www.google.com.br) e devolvê-lo ao cliente.
Essa resolução geralmente começa com o resolvedor de DNS controlado por seus ISPs ou servidores DNS públicos, como Cloudflare (1.1.1.1) ou Google (8.8.8.8).

O resolvedor passa a solicitação para um servidor de nomes DNS autoritário se não conseguir localizar o endereço IP para um determinado nome de domínio.

Mas se o primeiro servidor de nomes DNS autoritativo também não retiver os registros desejados, ele retornará a mensagem de delegação com endereços para os próximos servidores autoritativos aos quais o resolvedor DNS pode consultar.

Em outras palavras, um servidor autoritário diz ao resolvedor recursivo: “Não sei a resposta, consulte os seguintes servidores de nomes, por exemplo, ns1, ns2, etc.”.

Esse processo hierárquico continua até que o resolvedor DNS atinja o servidor autoritativo correto que fornece o endereço IP do domínio, permitindo que o usuário acesse o site desejado.

Os pesquisadores descobriram que esse contexto pode ser explorado para enganar os resolvedores recursivos a enviar continuamente um grande número de pacotes para um domínio de destino, ao invés de servidores oficiais legítimos.

Para montar o ataque através de um resolvedor recursivo, o invasor deve estar em posse de um servidor autorizado. Isso pode ser facilmente obtido com a compra de um nome de domínio. Alguém que atua como um servidor autorizado pode criar qualquer resposta de referência do NS como resposta a diferentes consultas de DNS.

Modus Operandi

O NXNSAttack funciona enviando uma solicitação para um domínio controlado pelo invasor (por exemplo, “attacker.com“) para um servidor vulnerável de resolução de DNS, que encaminhará a consulta DNS ao servidor autorizado controlado pelo invasor.

Em vez de retornar endereços aos servidores autoritativos reais, o servidor autoritativo controlado pelo invasor responde à consulta DNS com uma lista de nomes ou subdomínios de servidores falsos, controlados pelo agente da ameaça, que aponta para o domínio DNS da vítima.

Assim, o servidor DNS encaminha a consulta a todos os subdomínios inexistentes, criando um grande aumento no tráfego para o site da vítima.

Os pesquisadores disseram que o ataque pode ampliar o número de pacotes trocados pelo resolvedor recursivo em mais de 1500 vezes, sobrecarregando não apenas os resolvedores de DNS, mas também inundando o domínio de destino com solicitações supérfluas e derrubá-lo.

Em busca de problemas

O objetivo inicial dos pesquisadores era investigar a eficiência dos resolvedores recursivos e seu comportamento sob diferentes ataques. Porém, acabaram encontrando essa nova vulnerabilidade.

“Os principais ingredientes do novo ataque são: a facilidade com a qual se pode possuir ou controlar um servidor de nomes autorizado; o uso de nomes de domínio inexistentes para servidores de nome; e a redundância extra colocada na estrutura do DNS para obter tolerância a falhas e tempo de resposta rápido”, disseram os responsáveis pela pesquisa.

Nesse contexto, é altamente recomendável que os administradores de rede que executam seus próprios servidores DNS atualizem seu software de resolução de DNS para a versão mais recente. Assim, evitam um problema sério, em uma nova versão do ditado “a melhor maneira de vencer uma guerra é impedindo que ela comece”.

Thais Souza
thais.souza@ostec.com.br
No Comments

Post A Comment

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.