[Cascavel-pm] Fwd: [OT] Vulnerabilidade nos servidores de DNS

Marco A P D'Andrade mdacwb em gmail.com
Sexta Agosto 1 11:54:35 PDT 2008


4 tentativas :(

---------- Forwarded message ----------
From: Marco A P D'Andrade <mdacwb em gmail.com>
Date: 2008/8/1
Subject: Fwd: [Cascavel-pm] [OT] Vulnerabilidade nos servidores de DNS
To: Cascavel Perl Mongers <cascavel-pm em pm.org>, Perl Mongers Rio de
Janeiro <rio-pm em pm.org>


Mais uma vez !! Filtro de conteúdo no gmail !! O simples fato de ter a
sequencia doxpara

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the
recipient domain. We recommend contacting the other email provider for
further information about the cause of this error. The error that the
other server returned was: 552 552 dox NO dns5.com in
dob.sibl.support-intelligence.net: Blocked, See:
http://support-intelligence.com/dob/ (state 18).


---------- Forwarded message ----------
From: Marco A P D'Andrade <mdacwb em gmail.com>
Date: 2008/8/1
Subject: Fwd: [Cascavel-pm] [OT] Vulnerabilidade nos servidores de DNS
To: Cascavel Perl Mongers <cascavel-pm em pm.org>, Perl Mongers Rio de
Janeiro <rio-pm em pm.org>


Tentanto novamente ...

---------- Forwarded message ----------
From: Marco A P D'Andrade <mdacwb em gmail.com>
Date: 2008/8/1
Subject: Re: [Cascavel-pm] [OT] Vulnerabilidade nos servidores de DNS
To: Cascavel Perl Mongers <cascavel-pm em pm.org>, Perl Mongers Rio de
Janeiro <rio-pm em pm.org>


Ai, gostei da ferramenta !

Acabei me entusiasmando e dissecando os recursos utilizados ;)


O que achei mais interessante foi o mecanismo que deduzo foi utilizado
para fazer este teste.

Acessar uma URL randomica
DNS com mascaramento e logs de todas as queries ( *.doxpara.com )
Pagina web fazendo requisição via ajax para obter resultado da avaliação.
  http://c4f393x416da.dox X X dns1.com/printme.html


Formado da requisicao Ajax:
  http://c4f393x416da.dox X X dns1.com/fprint/c4f393x416da

Obtendo e parseando o resultado das queries recebidas:
  1. Fazer query em um nameserver qualquer:

        dig c4f393x416da.dox X X dns1.com @DNS_SERVER

  2. Obter o log http://149.20.56.5/fprint/c4f393x416da
  3. Split em linhas pela "," (virgula)

       c4f393x416da.dox X X dns5.com
       Thu Jul 31 16:55:17 2008
       <IP_DNS_SERVER>-25250-7189
       <IP_DNS_SERVER>-46570-11638
       <IP_DNS_SERVER>-14444-22563
       <IP_DNS_SERVER>-34078-22680
       <IP_DNS_SERVER>-62670-31603


  4. Pela descrição do site, o problema tem relação com numeros de
portas origens para as requisições sequenciais, como neste caso:

       c4f393x416da.dox X X dns5.com
       Thu Jul 31 17:00:41 2008
       200.XX.225.1-53-21217
       200.XX.225.1-53-21225
       200.XX.225.1-53-21655
       200.XX.225.1-53-21700
       200.XX.225.1-53-21713

   E olha que a minha query foi recusada !!

       Considerando a porta de origem igual, este seria um nameserver
diagnosticado como vulneravel.


  Como me foi pedido para não fazer intervenção nos DNS's daqui, já
que já tem gente suficiente trabalhando nisto, não me dei ao trabalho
de estudar a falha (se alguem puder resumir, é bem vindo), mas entendo
que o risco se dê por queries seguidas de um spoof de respostas, que
devem chegar antes, em um momento que aquele servidor não tenha a
informação cacheada...


Me parece, em minha vâ filosofia, que se fosse utilizado um forward
para um servidor diferente, o DNS já estaria seguro, pois as respostas
não seriam recebidas pelo servidor consultado, mas por um central,
desconhecido pelo atacante... mas é mera especulação sem conhecimento
completo de causa, que eu precisava compartilhar com alguem ;)


Sds,
Marco Antonio


2008/7/29 Nilson Santos Figueiredo Junior <acid06 em gmail.com>
>
> Olá pessoal,
>
> Me desculpem pela mensagem off-topic, mas considero este um assunto
> bastante importante.
>
> Eu estava com a sensação de que a "internet estava estranha" de uma
> semana pra cá e estava incomodado com isso. Os domínios estão
> demorando pra resolver e coisas assim.
>
> Enfim, eu fui procurar saber e faz pelo menos uma semana que um bug
> nos servidores de DNS vazou, que afetava praticamente todos os
> servidores do mundo.
>
>  http://beezari.livejournal.com/141796.html
>  http://www.theregister.co.uk/2008/07/24/dns_exploit_goes_wild/
>
> Aí tem um site pra checar se o servidor de DNS que você usa é
> vulnerável ao ataque:
>
>  http://www.doxpara.com/
>
> Aí eu verifiquei e o meu servidor de DNS (o da Way/Oi Internet) está vulnerável.
>
> Eu sugiro que vocês verifiquem se o de vocês também está vulnerável e,
> caso esteja, não utilizem nenhum serviço como banco online ou coisas
> assim (ou troquem o servidor de DNS pra algo como o OpenDNS). Caso
> notem que o servidor do local de trabalho / universidade também é
> vulnerável, sugiro que notifiquem os administradores.
>
> -Nilson Santos F. Jr.
> _______________________________________________
> Cascavel-pm mailing list
> Cascavel-pm em pm.org
> http://mail.pm.org/mailman/listinfo/cascavel-pm


Mais detalhes sobre a lista de discussão Cascavel-pm