Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Faille DNS : Le grand "buzz" de ces derniers jours

Faille DNS : Le grand "buzz" de ces derniers jours
2008-07-112013-02-11sécurité du poste de travailfr
L'évènement est assez rare pour le noter : Ces derniers jours, la sécurité informatique a fait les gros titres de certains journaux et l'information a même été relayée sur les ondes radio. Le sujet de toutes ces attentions : Le protocole DNS. L'alerte ayant été lancée Mardi 8 Juillet...
Publié le 11 Juillet 2008 par Jean-François Audenard dans sécurité du poste de travail

L'évènement est assez rare pour le noter : Ces derniers jours, la sécurité informatique a fait les gros titres de certains journaux et l'information a même été relayée sur les ondes radio. Le sujet de toutes ces attentions : Le protocole DNS. L'alerte ayant été lancée Mardi 8 Juillet par le CERT-US

Le DNS, dont le rôle est de traduire les noms de sites en des adresses IP, est au cœur du fonctionnement de l'Internet : Si cet "aiguilleur de l'Internet" se grippe tout tombe en panne ou fonctionne de manière erratique...

Le problème ? Il est possible de tromper cet aiguilleur. Mais qu'en est-il vraiment ? Fuzz/Buzz/bullshit ou la menace est-elle bien réelle ?

Update: Un message à l'attention des clients Orange Business Services est disponible en fin de bulletin.

Update: A message for Orange Business Services corporate customers is available at the bottom of this post.

En simplifiant quelque peu (mais pas trop !) ; le système DNS repose sur 2 types de serveurs : D'un coté ceux dits "autoritaires" et les autres dits "resolvers". Les premiers ont les réponses aux questions, les seconds ne sont que des relais ou mandataires.

Quand vous souhaitez accéder à un site web (www.lesite.com), votre navigateur va demander à son serveur DNS le "plus proche", typiquement un resolver, de lui donner l'adresse IP correspondante : Celui-ci ne connaissant pas la réponse va consulter le serveur qui gère le domaine "lesite.com", typiquement un serveur autoritaire, afin d'obtenir la réponse à la question et la retransmettre finalement au navigateur.

Les communications entre serveurs DNS sont normalement "sécurisées" via des mécanismes de numéro de requêtes et autres informations réseau. La faille qui a été annoncée tiens dans le fait qu'un attaquant peut "tromper" le serveur DNS resolver en lui envoyant une réponse plus rapidement que le serveur autoritaire, et donc définir l'adresse IP vers laquelle la connexion sera établie.

En fonction des objectifs de l'attaquant, celui-ci pourra capturer, écouter ou encore modifier les communications entre votre navigateur et le site web : Il lui sera donc aisé de collecter vos identifiants de connexion, vos cookies ou encore de visualiser les pages consultées.... Une attaque de "Man-In-the-Middle" dans la plus pure des formes, le tout à votre insu.

Cette faille est donc bien réelle est il est nécessaire de s'en protéger.

Cela concerne aussi bien les serveurs DNS publics des ISPs (qui sont des cibles de choix car utilisés par un très grand nombre d'utilisateurs) mais à aussi potentiellement impactant dans un contexte entreprise.

Les postes de travail ne sont pas non plus épargnés : Microsoft a récemment mis à disposition des correctifs (Microsoft Security Bulletin MS08-037 – Vulnerabilities in DNS Could Allow Spoofing) pour ses systèmes d'exploitation : Comme indiqué, cette faille concerne aussi bien les serveurs DNS que les postes de travail : Donc les attaques en local depuis un LAN sont possibles.

En quoi consiste cette faille ? Elle est plutôt simple : Les numéros de ports sélectionnés par les resolvers et autres serveurs DNS, ainsi que les numéros de requêtes, utiliser pour rentre uniques les requêtes ne sont pas assez aléatoires : Il est donc à priori aisé pour un attaquant de prédire les numéros de ports et numéro de requêtes et donc de répondre à la place du serveur DNS vers qui la requête à été initialement envoyée.

Que faire ?

  1. Pour commerncer, patcher en priorité les serveurs DNS "resolver" exposés à Internet
  2. Ensuite, patcher les serveurs DNS internes
  3. Et en dessert, mettre à jour les resolvers DNS intégrés dans les postes de travail.

.... Encore tout un programme. Ceci dit, comme votre management est (une fois n'est pas coutume) au fait du problème vous devriez pouvoir valoriser aisément ces actions de sécurisation. :-)

Cette faille n'est pas aussi "nouvelle" que cela : Elle aurait été découverte en 2005, mais aurait été ignorée pour d'obscures raisons... Pour en savoir plus, je vous invite à consulter le "Kudo" du SANS ISC fait à Ian Green pour son papier intitulé "DNS Spoofing by The Man In The Middle, Janvier 2005".

La solution à terme ? Utiliser DNSSEC, la version sécurisée du protocole DNS qui l'utilisation d'une PKI permet d'assurer la sécurité du système. Le problème, c'est que c'est encore assez loin d'être déployé. Les événements de ces derniers aideront-ils à une prise de conscience ? L'avenir nous le dira.

---------- INFORMATION SPECIALE POUR LES CLIENTS ORANGE BUSINESS SERVICES ----------

La solution à ce problème consiste à déployer les correctifs des éditeurs qui nous ont été livrés ou qui sont en cours de livraison.

Le déploiement de ces correctifs est actuellement en cours de finalisation, celui est réalisé en fonction de l'exposition aux risques que ces derniers présentent et en limitant les perturbations toujours possibles lors d'une telle opération.

Orange Business Services est donc au courant de la situation et nous traitons le problème.

Pour demande de précisions ou questions, veuillez contacter votre support technique habituel ou votre contact commercial.

---------- SPECIAL INFORMATION FOR ORANGE BUSINESS SERVICES CUSTOMERS ----------

Most of the concerned software and hardware providers have issued or are issuing appropriate patches.

Orange Business Services if fully aware of the issue and we are patching exposed DNS systems while avoiding any disturbance to business critical activities.

For more information or specific queries, please liaise with your customer support or business representative.

3 Commentaires

  • 21 Juillet 2008
    2008-07-21
    par
    Audenard Jean-François
    Tout d'abord, merci pour le feedback Doco.

    Concernant les serveurs DNS d'Orange Internet, je ne serai pas en mesure de me positionner sur leur état passé, présent ou futur car ceux-ci sont en dehors du périmètre des activités de la division entreprises : Ceci dit, je peux affirmer que les personnes compétentes coté Orange Internet sont bien au fait de ce qui doit etre fait et comment. :-)

    Pour ce qui concerne les serveurs DNS Oleane (ns-cache0.oleane.net et ns-cache1.oleane.net) ceux-ci ont bien été patchés : Cf les résultats donnés par l'outil de DoxPara.

    Dans ce cas, à quoi correspond le message au sujet de la sélection des ports ? Différentes raisons que je détaillerai dans un post à venir.

    Sans tout dévoiler en avance, la situation actuelle sur les DNS Oléane va légèrement évoluer et on devrait constater un "écart" entre le premier port source et le dernier qui va aller croissant.
  • 18 Juillet 2008
    2008-07-21
    par
    Doco
    C'est marrant parce que quand je teste la faille sur le blog de Kaminsky, avec les DNS d'Orange, il me dit : "your dns is vulnerable to cache poisoning" et on peut voir effectivement que la liste des ports correspondants à l'adresse se suivent de manière régulière. Si j'essaie avec les serveurs d'Oleane (qui appartiennent à FT, si je ne m'abuse), il me dit que mes serveurs sont a priori sûrs mais que le pare-feu/nat semble interférer avec la sélection des ports puisque l'écart entre le premier et le dernier n'est que de 10.

    Alors ? Orange a-t-il patché ses serveurs ?
  • 11 Juillet 2008
    2008-07-21
    par
    Audenard Jean-François
    Le Monde Informatique, Les grands des TIC s'allient face à une faille des DNS, Edition du 10 Juillet 2008
    http://www.lemondeinformatique.fr/actualites/lire-les-grands-des-tic-s-a...

    DoxPara Research, le site web de Dan Kaminsky qui a coordonné la correction de cette vulnérabilité.
    http://www.doxpara.com/

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage