RSA 2012 : le protocole DNS détourné pour pirater des PC

le 02/03/2012, par Jacques Cheminat avec IDG News Service, Sécurité, 508 mots

Lors de la conférence RSA 2012, plusieurs experts en matière de sécurité observent un accroissement des malwares qui reçoivent des instructions des pirates à travers le protocole DNS. Ils affirment aussi que les entreprises sont mal préparées à ces menaces.

RSA 2012 : le protocole DNS détourné pour pirater des PC

Il existe de nombreux canaux de dialogue entre les pirates et  les réseaux d'ordinateurs zombies. On peut citer les vecteurs traditionnels que sont TCP, HTTP et IRC, mais aussi d'autres plus inhabituels comme les fils Twitter, les murs de Facebook et même les commentaires sur YouTube. Le trafic généré par les malwares et qui transite par ces canaux peut être détecté et bloqué au niveau du réseau par un pare-feu ou des IPS. Toutefois, ce n'est pas le cas pour le DNS (Domain Name System) et les attaquants profitent de cette faiblesse, a déclaré Ed Skoudis, fondateur du Counter Hack Challenge, lors d'une présentation sur les récentes techniques d'attaques à la conférence RSA 2012.

Le protocole DNS est normalement utilisé pour une fonction précise : la traduction des noms de domaines en adresses IP et vice-versa. Pour cette raison, le trafic DNS n'est pas filtré et il circule librement. Comme les requêtes DNS sont transmises par un serveur DNS à un autre pour atteindre le serveur racine, il est inutile de bloquer des adresses IP au niveau du réseau.

Ed Skoudis confirme que dans deux cas,  des malwares ont utilisé des réponses aux requêtes DNS pour compromettre des millions de comptes. Il s'attend à ce que plus de pirates adoptent cette technique furtive dans les prochains mois. Le spécialiste sur la sécurité estime que l'ordinateur infecté n'a souvent même pas besoin d'avoir une connexion sortante, s'il existe un serveur DNS local qui effectue les recherches sur Internet. Le malware pourra donc toujours passer par ce biais pour obtenir des instructions. Ed Soukis confie qu'il est très difficile de recenser toutes les requêtes DNS qui transitent sur un serveur local installé en entreprise, car cela peut conduire à des problèmes de performance.

Des solutions pour analyser les requêtes


Cependant, une solution consisterait à se doter d'un analyseur de réseaux pour capturer périodiquement des échantillons et les examiner. Les administrateurs réseau chercheront des requêtes ou des réponses anormalement longues qui contiennent des noms bizarres et des données codées. Le risque de cette méthode est que les pirates pourraient diviser leurs instructions en plusieurs petits paquets. Par ailleurs, des requêtes identiques et régulières peuvent être une indication que les malwares vérifient l'arrivée de nouvelles instructions, souligne Ed Skoudis.

Les DNS sont sous le feu de l'actualité. Récemment, des présumés Anonymous ont publié un message d'avertissement pour bloquer les serveurs racines DNS le 31 mars prochain. Une étude d'Arbor Networks sur les attaques en déni de service montrait les prémices de menaces sur IPV6, le protocole d'adressage utilisé pour remédier à la pénurie d'adresses en IPv4. Eric Michonnet, directeur d'Arbor Networks pour l'Europe du Sud, souligne « si les attaques via IPv6 sont rares, elles vont croître avec son déploiement. On constate que de plus en plus d'attaques en déni de service se combinent avec des attaques applicatives ».

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...