hit counter
Le vulnerabilità DNS come l'asteroide di Armageddon - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Le vulnerabilità DNS come l'asteroide di Armageddon

Le vulnerabilità DNS come l'asteroide di Armageddon

  • Comments 9
  • Likes

Vi confesso che il lavoro segreto di collaborazione (di cui ho appena parlato nel mio freschissimo post su MClips: "Una svolta nella security cooperation: le vulnerabilità DNS uniscono i vendor nella difesa di Internet") che ha coinvolto Microsoft e gli altri vendor per la risoluzione delle famose vulnerabilità DNS, è stato così segreto, ... ma così segreto..., che neanche noi Microsoft Chief Security Advisor siamo stati avvisati!! Questo spiega anche come mai non abbia posto alcuna enfasi particolare alla descrizione del bollettino MS08-037 nella mia consueta analisi di rischio: tecnicamente parlando, le due vulnerabilità corrette per Windows (tranne Windows Vista, ci tengo a ribadirlo, nativamente non vulnerabile!) sono state trattate in modo assolutamente omogeneo rispetto alle altre, gestite con la stessa cura e considerazione. Di sicuro, questo caso ha richiesto uno sforzo maggiore, visto l'accordo da raggiungere con gli altri ricercatori sulle modalità da adottare per la correzione strutturale migliore possibile, come si intuisce dalla seconda parte del bellissimo post di Dan Kaminsky. La prima parte dello stesso post mi ha trasmesso le stesse emozioni di fratellanza universale nella lotta contro le minacce catastrofiche: avete presente il film Armageddon? Ecco, proprio così! La scoperta di queste vulnerabilità DNS (protocollo che sostiene di fatto buona parte dell'architettura Internet, purtroppo... ) ci ha messo di fronte allo stesso tipo di rischio (la seria perdita di affidabilità di Internet), e fortunatamente ha scatenato lo stesso istinto alla sopravvivenza e alla cooperazione. Se sul mio post di MClips trovate le considerazioni a tal merito, in questo desidero aggiungere qualche dettaglio per aiutarvi a capire l'urgenza dell'aggiornamento.

Abbiamo già ricevuto da qualche cliente la domanda: ma se sono vulnerabilità così serie e dall'impatto globale, perché il rating della MS08-037 è "solo" Important?

Forse pochi di voi hanno la memoria storica che risale al momento in cui Microsoft è passata da una classificazione del livello di severity dei bollettini a 3 valori all'attuale in uso che prevede 4 livelli: ad un certo punto (novembre 2002) si rese opportuno sdoppiare in due livelli distinti il livello più alto, per sottolineare il diverso livello di rischio rispetto alla minaccia dei worm:

  • Critical: A vulnerability whose exploitation could allow the propagation of an Internet worm without user action.
  • Important: A vulnerability whose exploitation could result in compromise of the confidentiality, integrity, or availability of users data, or of the integrity or availability of processing resources.

Quindi i bollettini Important si devono considerare altrettanto seriamente, ed escludono solo il rischio di sfruttamento tramite worm che si propaga automaticamente!

Nel caso specifico di queste vulnerabilità, come già detto nella sintetica analisi di rischio, chi attacca ha modo di iniettare in modo anonimo dei dati falsi o fuorvianti nella cache DNS sia dei PC client, sia dei sistemi server adibiti al ruolo di DNS Server, e questo si traduce in due scenari di attacco

  • quello più probabile e pericoloso è l'attacco destinato ai DNS server: in quanto fornitori del servizio di risoluzione la loro compromissione è in grado di dirottare automaticamente su siti pericolosi tutti gli utenti che usano quel particolare server DNS. Visto che i DNS sono organizzati gerarchicamente, un mapping pericoloso di Dominio_della_mia_banca=IndirizzoIP_Fasullo può propagarsi a cascata con scala preoccupante: gli amministratori di server DNS sono i primi a dover correre all'aggiornamento urgentissimo.
  • l'attacco destinato ai PC client è ovviamente più focalizzato: chi ci attacca deve ovviamente intercettare una nostra richiesta di risoluzione e inviarci una risposta (fingendosi il DNS server legittimo) modificata ad hoc per iniettare  un mapping pericoloso nella nostra cache DNS locale.

Per fortuna sembra che "The good news is this is a really strange situation where the fix does not immediate reveal the vulnerability and reverse engineering isn't directly possible."... ma questo non deve farci dormire sugli allori!

Aggiornate, aggiornate e fate aggiornare!

Altri post/risorse correlate:

Share this post :
Comments
  • PingBack from http://www.mclips.it/archive/2008/07/11/una-svolta-nella-security-cooperation-le-vulnerabilit-224-dns-uniscono-i-vendor-nella-difesa-di-internet.aspx

  • da,. Kaminski ci ricama un po' su... ma poco poco... ;-)

    ale

  • Ciao, la grande alleanza sembra non aver tenuto ;-)

    Qui qualche spiegazione in piu'

    http://esperimentotre.blogspot.com/2008/07/il-segreto-di-pulcinella.html

  • Ciao Alezzandro, ho letto, è la notizia del giorno infatti. Personalmente non mi aspettavo che tenesse molto il segreto sulle vulnerabilità dopo l'annuncio, mentre è stato notevole riuscire a tenere il segreto nella fase pre-annuncio per dare modo ai vendor di sviluppare bene le patch.

  • Perfettamente d'accordo. Il vero problema inizia ora, perche' la patch proposta non risolve il problema ma lo attenua soltanto.

    ciao

    ale

  • La situazione si fa calda: da alcuni giorni abbiamo letto di come siano stati diffusi i dettagli della

  • Avrei voluto intitolare questo post con "La rivincita di Windows Update", ricordando il post

  • Non c'è che dire, l'annuncio stampa di ieri sera è proprio una dichiarazione di guerra a questo malware

  • Nel caso ci si trovi su un sito di phishing per colpa del dns, rimane un'ultima difesa che funziona per tutti i siti. Non digitare user e password corretti al primo colpo. Ad esempio, nel sito di home banking, basta digitare un user errata. Se non si tratta del vero sito della sua banca, nessun errote verrà segnalato e sembrerà tutto a posto. Se invece la user errata viene giustamente segnalata, sicuramente si è sul vero sito.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment