Mac OS X Leopard 10.5 cliente sigue siendo vulnerable al ataque de DNS pese a la actualización de seguridad

Después de que Apple publicara su actualización de seguridad 2008-005, el Instituto SANS instaló y probó la actualización de Apple contra el problema en el protocolo DNS y encontró que una copia actualizada de Mac OS X 10.5 Leopard cliente sigue siendo vulnerable. Esta vulnerabilida, parece poco probable que pueda ser utilizada hasta ahora y se desconoce la probabilidad de uso hasta que el investigador de seguridad Dan Mainksy entregue toda la información el 6 de agosto durante la conferencia Black Hat, Black Ops 2008: Es el final del Cache como lo conocemos."

Como Rich Mogull y Glenn Fleishman denotaron en " Apple no soluciona el defecto crítico en el DNS", los servidores están en un alto riesgo con esta vulnerabilidad. El defecto permite al atacante enviar decenas de miles de respuestas falsas a una pregunta de DNS, lo que después envenena las entradas del servidor DNS si el atacante coincide con el patrón correcto con su información falsa antes de que la respuesta legítima llegue desde el servidor DNS.

Sin embargo, los ordenadores utilizados por individuos sin software de servidor DNS que están operativos también son vulnerables a este problema; sólo no sabemos qué tan vulnerables son. Ya que los servidores alrededor del mundo están siendo actualizados rápidamente, es probable que la tentación fácil haya desaparecido y que los ataques ahora apuntes a los clientes – si es que los clientes son vulnerables también. Los clientes usan stub resolvers, que envían solicitudes para las respuestas del DNS a un servidor DNS recursivo que corre en su compañía, ISP o proveedor de red.

Estos clientes pasan sus solicitudes, y parece poco probable que fueran atacados a menos que el atacante tuviera un ordenador en el mismo segmento de la red local que el sistema expuesto. En ese caso, el atacante tendría muchas más posibilidades de tener éxito y podría falsear las peticiones DNS de una manera más eficiente.

El defecto DNS se basa en la capacidad de predicción de cómo son asignados los puertos en las solicitudes hacia el exterior para un dominio en una solicitud DNS. Un atacante fuerza a un servidor a buscar un dominio utilizando el servidor DNS que el atacante controla, y a partir de eso obtiene el número de puerto que está siendo usado para las solicitudes. Si los puertos son secuenciales, entonces el atacante comienza a enviar solicitudes falsas utilizando puerto numerados justo por encima del que acaba de descubrir.

Esta es parte de la pregunta acerca de vulnerabilidad del cliente: es muy difícil forzar a un cliente a buscar un dominio maligno para comenzar porque los clientes no responden a preguntas DNS, y típicamente no están corriendo servidores de correo electrónico que puedan ser utilizados cuando un atacante envía correo electrónico con un dominio maligno en el remitente.

Al incrementar la entropía – escogiendo un puerto aleatorio para cada solicitud, Un DNS actualización previene que los atacante produzcan suficientes paquetes lo suficientemente rápido para ganar la carrera con un servidor DNS legítimo, de manera que no pueda envenenar al cache.

Fuente: TidBits
Foto: Enygmatic-Halycon