was successfully added to your cart.

Carrito

Black Hat: un nuevo pirateo de DNS derrama datos confidenciales de la empresa

By septiembre 10, 2021Blog

Threatpost entrevista a Wiz CTO sobre una vulnerabilidad recientemente parcheada por el servicio DNS de Amazon Route53 y Google Cloud DNS.


LAS VEGAS - Amazon y Google parchearon un error del servicio de nombres de dominio (DNS) que permitía a los atacantes fisgonear en la configuración de redes confidenciales de las empresas, revelando los nombres de las computadoras y los empleados junto con las ubicaciones de las oficinas y los recursos web expuestos.


La vulnerabilidad, descrita en una charla de Black Hat USA 2021 la semana pasada, es una nueva clase de vulnerabilidades que afectan a los principales proveedores de DNS como servicio (DNSaaS), según investigadores de la firma de seguridad en la nube Wiz.


Ami Luttwak , cofundador y CTO de Wiz, dijo que el error permite a un adversario realizar un reconocimiento sin precedentes en un objetivo, es decir, cualquier red corporativa vulnerable que inadvertidamente permita este tipo de escuchas en la red.


Bajando por la laguna del DNS.


“Encontramos una laguna simple que nos permitió interceptar una parte del tráfico DNS dinámico mundial que pasa por proveedores de DNS administrados como Amazon y Google. Básicamente, hicimos 'escuchas telefónicas' del tráfico de la red interna de 15.000 organizaciones (incluidas las empresas Fortune 500 y agencias gubernamentales) y millones de dispositivos ”, escribió Wiz en un desglose técnico del error.


Luttwak llama a lo que encontró un "vacío legal" dentro del proceso utilizado para manejar el DNS dinámico ahora obsoleto dentro de las configuraciones modernas del servidor DNS.


“Registramos un nuevo dominio en la plataforma Route 53 con el mismo nombre que su servidor DNS oficial. (Técnicamente, creamos una nueva 'zona alojada' dentro del servidor de nombres de AWS ns-1611.awsdns-09.co.uk y la llamamos 'ns-852.awsdns-42.net') ”, explicaron los investigadores.


A continuación, los investigadores obtuvieron el control de la zona alojada al registrar miles de servidores de nombres de dominio con el mismo nombre que el servidor DNS oficial de DNSaaS. “Siempre que un cliente DNS consulta este servidor de nombres sobre sí mismo (lo que miles de dispositivos hacen automáticamente para actualizar su dirección IP dentro de su red administrada, más sobre eso en un minuto), ese tráfico va directamente a nuestra dirección IP”, escribió Wiz.


Lo que los investigadores observaron a continuación fue una avalancha de tráfico DNS dinámico de máquinas con Windows que consultaban al “servidor de nombres secuestrado” sobre sí mismo. En total, los investigadores perfilaron 15.000 organizaciones (algunas empresas de Fortune 500), 45 agencias gubernamentales de EE. UU. Y 85 agencias gubernamentales internacionales.


¿Mala configuración o vulnerabilidad?.
Los proveedores de DNSaaS Route53 y Google Cloud DNS solucionaron el problema al no permitir el tipo de registro de imitación que reflejaba su propio servidor DNS.


En cuanto a Microsoft, los investigadores dijeron que la empresa consideraba que se trataba de un problema de configuración incorrecta.
“Microsoft podría proporcionar una solución global actualizando su algoritmo de DNS dinámico. Sin embargo, cuando informamos de nuestro descubrimiento a Microsoft, nos dijeron que no lo consideraban una vulnerabilidad, sino más bien una mala configuración conocida que ocurre cuando una organización trabaja con resolutores de DNS externos ”, dijeron los investigadores.


Luttwak dijo que las empresas pueden evitar este tipo de explotación de DNS configurando correctamente sus resolutores de DNS para que las actualizaciones dinámicas de DNS no salgan de la red interna.


Autor: Tom Spring
Fuente https://threatpost.com/black-hat-novel-dns-hack/168636/

admin

Author admin

More posts by admin