This post is also available in: Português
Pesquisadores israelenses divulgaram detalhes sobre uma nova falha no protocolo DNS que pode ser explorada para criar ataques de negação de serviço (DDoS) em larga escala. Chamada de NXNSAttack, a falha depende do mecanismo de delegação de DNS para forçar os resolvedores a gerar mais consultas para servidores autoritativos da escolha do invasor, interrompendo as atividades.
“Mostramos que o número de mensagens DNS trocadas em um processo típico de resolução pode ser muito maior na prática do que o esperado na teoria, principalmente devido a uma resolução proativa dos endereços IP dos servidores de nomes”, disseram os pesquisadores. “Mostramos como essa ineficiência se torna um gargalo, e pode ser usada para montar um ataque devastador contra resolvedores recursivos e servidores autorizados”.
Após a divulgação, várias empresas – incluindo PowerDNS (CVE-2020-10995), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn de propriedade da Oracle, Verisign e IBM – corrigiram seus softwares para solucionar o problema.
A infraestrutura já havia sido alvo de uma série de ataques DDoS por meio da famosa botnet Mirai, incluindo aqueles contra o serviço DNS Dyn em 2016, prejudicando alguns dos maiores sites do mundo, como Twitter, Netflix, Amazon e Spotify.
O método
Uma pesquisa recursiva ocorre quando um servidor DNS se comunica com vários servidores DNS autoritativos em uma sequência hierárquica para localizar um endereço IP associado a um domínio (por exemplo, www.google.com.br) e devolvê-lo ao cliente.
Essa resolução geralmente começa com o resolvedor de DNS controlado por seus ISPs ou servidores DNS públicos, como Cloudflare (1.1.1.1) ou Google (8.8.8.8).
O resolvedor passa a solicitação para um servidor de nomes DNS autoritário se não conseguir localizar o endereço IP para um determinado nome de domínio.
Mas se o primeiro servidor de nomes DNS autoritativo também não retiver os registros desejados, ele retornará a mensagem de delegação com endereços para os próximos servidores autoritativos aos quais o resolvedor pode consultar.
Em outras palavras, um servidor autoritário diz ao resolvedor recursivo: “Não sei a resposta, consulte os seguintes servidores de nomes, por exemplo, ns1, ns2, etc.”.
Esse processo hierárquico continua até que o resolvedor DNS atinja o servidor autoritativo correto que fornece o endereço IP do domínio, permitindo que o usuário acesse o site desejado.
Os pesquisadores descobriram que esse contexto pode ser explorado para enganar os resolvedores recursivos a enviar continuamente um grande número de pacotes para um domínio de destino, ao invés de servidores oficiais legítimos.
Para montar o ataque através de um resolvedor recursivo, o invasor deve estar em posse de um servidor autorizado. Isso pode ser facilmente obtido com a compra de um nome de domínio. Alguém que atua como um servidor autorizado pode criar qualquer resposta de referência do NS como resposta a diferentes consultas de DNS.
Modus Operandi
O NXNSAttack funciona enviando uma solicitação para um domínio controlado pelo invasor (por exemplo, “attacker.com“) para um servidor vulnerável de resolução de DNS, que encaminhará a consulta DNS ao servidor autorizado controlado pelo invasor.
Em vez de retornar endereços aos servidores autoritativos reais, o servidor autoritativo controlado pelo invasor responde à consulta DNS com uma lista de nomes ou subdomínios de servidores falsos, controlados pelo agente da ameaça, que aponta para o domínio DNS da vítima.
Assim, o servidor DNS encaminha a consulta a todos os subdomínios inexistentes, criando um grande aumento no tráfego para o site da vítima.
Os pesquisadores disseram que o ataque pode ampliar o número de pacotes trocados pelo resolvedor recursivo em mais de 1500 vezes, sobrecarregando não apenas os resolvedores de DNS, mas também inundando o domínio de destino com solicitações supérfluas e derrubá-lo.
Em busca de problemas
O objetivo inicial dos pesquisadores era investigar a eficiência dos resolvedores recursivos e seu comportamento sob diferentes ataques. Porém, acabaram encontrando essa nova vulnerabilidade.
“Os principais ingredientes do novo ataque são: a facilidade com a qual se pode possuir ou controlar um servidor de nomes autorizado; o uso de nomes de domínio inexistentes para servidores de nome; e a redundância extra colocada na estrutura do DNS para obter tolerância a falhas e tempo de resposta rápido”, disseram os responsáveis pela pesquisa.
Nesse contexto, é altamente recomendável que os administradores de rede que executam seus próprios servidores DNS atualizem seu software de resolução de DNS para a versão mais recente. Assim, evitam um problema sério, em uma nova versão do ditado “a melhor maneira de vencer uma guerra é impedindo que ela comece”.
This post is also available in: Português
