Faille DNS : Les outils d'exploitation sont disponibles dans Metasploit

Partager

Les cartes viennent d'être quelque peu re-distribuées : Comme évoqué dans mon bulletin d'hier, le framework Metasploit intègre désormais le module permettant d'exploiter les serveurs DNS vulnérables à la faille  de poisoning.

Il n'est pas (jamais) trop tard pour bien faire : Patchez vos serveurs DNS ou re-configurez les pour forwarder les demandes de résolution vers des serveurs DNS sécurisés.

Les cibles d'attaques sur internet étant très nombreuses, un attaquant "opportuniste" aura tendance à se tourner sur les "quick wins" en priorité (et je ne parle pas des "scripts kiddies").

C'est pourquoi je vous propose 4 recommandations supplémentaires (certaines très classiques, pas de "breaking news" je vous rassure).

1) Séparez les fonctions de vos serveurs DNS : Faites qu'un serveur DNS ne soit pas autoritaire et resolver à la fois : Cela permettra d'éviter que vos zones "primaires/autoritaires" soit elles-aussi mises à mal.

2) Limitez l'accès à vos resolvers : Ils ne doivent répondre qu'aux requêtes en provenance de vos clients et uniquement d'eux. Cad que vous ne devez pas être en "open resolvers" comme il y en a beaucoup (trop) sur Internet.

3) Mettez en place des mécanismes de supervision (lisez la doc de votre serveurs DNS, certains d'entre eux proposent des fonctions très intéressantes), mettez à jour vos IDS/IPS afin d'utiliser les signatures de détection d'attaques qui commencent à émerger

4) .... En cas de doute ou même périodiquement, vous pouvez toujours "flusher" le cache de vos serveurs DNS afin de faire disparaitre toute trace de poisoning...

Pour ceux qui souhaitent en savoir plus, les deux articles suivants décrivent plus en détail ce qui est disponible dans Metasploit :

Pour finir sur une note positive, avez-vous vu que le processus d'adoption de DNSSEC pour la zone ".org" a été récemment annoncé ? Pour en suivre le déploiement, je vous invite à consulter un site dédié au sujet.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)