Vulnérabilité du protocole DNS – correctif à appliquer d’urgence

DNS Le Domain Name Service est un protocole qui permet de convertir le nom d’un domaine (www.ABinterNETwork.fr par ex.) en son adresse réelle (adresse IP) permettant aux routeurs de trouver le serveur sur Internet.

Hors une faille de DNS Cache Poisonning (connue depuis longtemps mais non corrigé car elle semblait compliquer à exploiter) vient d’être publiquement dévoilée lors d’une conférence par Dan Kaminsky) (avant qu’il fasse la démonstration début août de son exploitation). Tous les serveurs DNS sont concernés (ceux connectés sur Internet) par cette faille de sécurité et il est urgent d’appliquer un correctif (déjà publiés entre autre par Cisco, Microsoft, Red Hat,… pour leurs produits) car cette faille permet à un pirate de se faire passer pour un serveur « fiable » et autorisé.

C’est la première fois qu’une telle coordination a lieu. Mardi, alors qu’au cours d’une conférence de presse, un chercheur en sécurité, Dan Kaminsky, dévoilait une faille importante dans le protocole DNS (Domain Name System), pierre angulaire du fonctionnement d’Internet, plusieurs éditeurs parmi lesquels Microsoft, Cisco, Red Hat, Sun Microsystems et l’Internet Software Consortium publiaient, dans un timing parfait, un correctif de cette faille pour leurs propres produits.

Il faut dire que cette faille, si elle est exploitée pourrait avoir des effets « horribles ». « Les conséquences de cette faille sont gravissimes et leur ampleur est difficile à imaginer », assure un consultant d’Hervé Schauer Consulting, HSC, cabinet spécialisé dans la sécurité.

Cette vulnérabilité qui touche le coeur du protocole DNS et concerne donc, a priori, tous les systèmes d’exploitation, est une attaque de type DNS Cache Poisoning – contamination du cache DNS. Les serveurs dont le cache est contaminé accueillent les informations de serveurs pirates comme étant celles de vrais serveurs. Ainsi, un internaute se retrouvera à utiliser des services contrôlés par les pirates alors que son serveur lui dira qu’il est sur le bon service. Est concerné le trafic Web, mais aussi les e-mails qui peuvent être détournés.

« Cette faille du protocole DNS est connue depuis longtemps, assure le consultant d’Hervé Schauer Consulting, ce que le chercheur a démontré, c’est surtout qu’elle pouvait être exploitée beaucoup plus facilement qu’on ne le pensait jusque là ». Pour l’instant, aucune attaque exploitant la faille n’a été répertoriée.

Si Cisco, Microsoft et les autres, ont pu réagir avec cette précision de métronome, c’est parce que le chercheur Dan Kaminsky les a alertés depuis six mois sur sa découverte. Une quinzaine d’experts se sont alors réunis fin mars de manière confidentielle pour travailler sur les correctifs.

Mais qui est réellement concerné ? Toutes les entreprises qui gèrent leurs propres DNS, c’est à dire généralement les grandes entreprises, et toutes la chaîne de gestion des DNS, des fournisseurs d’accès à Internet, des hébergeurs, etc. Pour vérifier si l’on est vulnérable aux attaques, le chercheur a mis au point un test en ligne sur Doxpara.com.

Si votre site se révèle vulnérable, « il faut vous adresser au prestataire de service qui gère votre DNS », explique Loïc Damilaville, adjoint au directeur général de l’Afnic, ou faire la mise à jour de vos matériels si vous les gérez vous-même.

« De nombreux matériels, comme les box grand public, intègrent un serveur DNS », ajoute le consultant de HSC. Du côté de chez Cisco, quatre gammes de produits sont concernées à cause de leur implémentation du protocole DNS. Les plus répandus sont les routeurs qui utilisent le système d’exploitation IOS de Cisco. « Mais, pour être vulnérable à cette faille, il faut que le serveur DNS soit activé dans le routeur, or, par défaut, il est désactivé », note Christophe Perrin, responsable du développement du marché de la sécurité chez Cisco, « la criticité est plus grande pour les matériels et logiciels qui sont directement utilisés en tant que serveurs DNS ». Il conseille donc de ne faire la mise à jour immédiate que pour ces matériels.

Microsoft et Red Hat dans la même faille

C’est le cas de Microsoft qui a publié un correctif, concernant Windows 2000, XP, 2003 et 2008. Vista échappe à la faille comme Windows Server 2008 pour les systèmes Itanium.

Autres correcteurs : Red Hat et ICS. Red Hat a fourni les patchs pour les principales distributions Entreprise (2.1, 3 et 4 et 5) qui utilisent les versions de BIND (9.3, 9.4 et 9.5) d’ICS, elles-mêmes contaminées et corrigées.

Si le patch comble la faille, il risque aussi de ralentir les performances du serveur DNS. En effet, la correction consiste à rajouter des routines qui vont compliquer le dialogue entre le serveur DNS et celui qui l’interroge (serveur ou client), et par là même le ralentir.

Le CERT (Computer Emergency Readiness Team) US a publié une liste des constructeurs et des produits qui sont vulnérables à la faille. Le niveau de la vulnérabilité de la plupart des constructeurs et éditeurs cités est actuellement « inconnu », seuls ceux ayant publié des patchs étant identifiés comme « vulnérables ».

Pour les principaux intéressés, il reste quelques semaines pour faire la mise à jour. Début août, lors de la Black Hat Conference, Dan Kaminsky a annoncé qu’il donnerait plus de détail sur la faille en question. Et notamment, comment elle peut être exploitée. A vos patchs !

Lire l’article sur : 01net…

Mots clés Technorati : ,,,

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.