L’exploit de la faille DNS est de sortie
Par Korben le 24 juillet 2008
Les serveurs DNS, c’est ce que votre FAI vous fournit pour pouvoir transformer un joli nom de domaine en adresse IP… Et bien sachez qu’il existe une énorme faille dans ce protocole.
Si votre fournisseur d’accès est faillible, vous pourriez être redirigé à partir de n’importe quel site que vous visitez vers un autre “pirate”. C’est le principe du phishing en plus indétectable… Vous croyez aller sur le site de votre banque alors que vous êtes sur un faux site en tout point identique et quelques heures plus tard, vous n’avez plus un sous sur votre compte.
Cela a poussé de nombreux acteurs du web (Cisco, Microsoft, Sun…etc) à la maintenir secrète le temps de fixer le plus de choses.
Très bien…
Mais maintenant, qu’ils ont fait ça, la faille a été rendue publique sur un blog et un “exploit” est déjà disponible.
Aie Aie Aie…
Voici comment s’en protéger.
Déjà , pour savoir si votre fournisseur d’accès internet est en un danger, allez sur ce site, et cliquez sur Check My DNS dans la colonne de droite. Il détectera les serveurs DNS de votre provider (ceux que vous utilisez) et vous dira si ça coince ou pas. Si c’est le cas, pas de panique, il faut passer à OpenDNS !! (DNS libres et patchés) en attendant… et pensez à contacter votre FAI pour leur signaler.
Ensuite, si vous êtes un heureux propriétaire de serveur, pensez à le mettre à jour avec un update sous Ubuntu (ou autre chose)
That’s all !
Je vous recommande aussi la lecture des sujets suivants
- Importante faille dans Internet Explorer
- Un nouvelle faille dans Internet Explorer
- Comment savoir si votre FAI bride vos téléchargements p2p (2ème méthode)
- Mettez vos BIND Ã jour
- Corriger la faille OpenSSL dans Debian et Ubuntu
Gana
quand je clique sur ‘check dns’ :
Serveur introuvable
Firefox ne peut trouver le serveur à l’adresse xxxxxxx
Posté le 24 juillet 2008 à 09:08:28
Droide
impressionant quand même cette faille. Est-ce une coincidence avec le fait que Gandi.net ne soit pas accessible ce matin ?
je vais sur mon site (serveur chez moi) mais nom de domaine introuvable, et a force je vais sur gandi pour voir et bam quedal …
edit : pareil que toi Gana
Posté le 24 juillet 2008 à 09:08:40
nico
bug chez moi ou coincidence ?
Ce matin je n’avais plus de résolution DNS chez moi ( DNS de Free )
j’ai basculé sur les DNS de ma dédibox.
Posté le 24 juillet 2008 à 09:27:30
Droïde
@nico: je suis chez free aussi … peut-être qu’ils mettent à jour.
Posté le 24 juillet 2008 à 09:35:28
xofox
@Droide et nico :
http://iwi.lebardegandi.net/post/2008/07/24/Probleme-d-accessibilite-avec-free
Il y a donc bien un souci avec les DNS de Free
Posté le 24 juillet 2008 à 09:42:30
Manu
Ben on en parlait déjà y’a plusieurs semaines et j’croyais que c’était corrigé ( http://www.presence-pc.com/actualite/Faille-DNS-Internet-30355/ ).
Posté le 24 juillet 2008 à 09:42:43
Benich
Korben, la faille DNS est sortie depuis quelques semaines
Sinon, je suis chez orange, et je ne peut pas non plus accéder aux sites *.free.fr .
Ca doit être général…
Posté le 24 juillet 2008 à 09:56:04
nico
merci manu, Heureusement que Korben.info est joignable
Posté le 24 juillet 2008 à 09:56:42
Droïde
je vient d’aller faire un tour sur les newsgroup de free, cela semble bien général mais pas encore de cause donnée.
Posté le 24 juillet 2008 à 10:04:30
randi
Salut, dommage ce billet dénote de l’habituelle qualité que j’attends de ce blog :’(
@Manu c’est ‘corrigé’ dans le sens où la pluspart des serveur DNS ont publié conjointement un patch. Certains serveurs DNS n’étaient pas vulnérables
@Korben, non non et non Dan Kaminsky n’a pas publié d’autre qu’un advisory, c’est à dire un descriptif des modifications faites pour empêcher l’exploitation de la faille. Il donnera les détails techniques à la conf black Hat qui a lieu le mois prochain
Pour l’exploit… vu le hype causé par la découverte de cette faille, beaucoup ce sont mis à chercher en partant de modifications à faire pour conrriger (16bits de RXID deviner et possibilité d’utiliser des requetes multiples). Reste que cet exploit ne devrais pas être aussi efficace que cela car il n’utilise rien pour deviner l’ID (car en fait le générateur pseudo aléation de ce rxid est faillible) comme le montre ce code :
req.id = rand(2**16)
Un vrai exploit devrais pouvoir fonctionner bien plus rapidement que ça :
[*] Poisoning successful after 7000 attempts: pwned.example.com == 1.3.3.7
7000 essais = 7000 essais = IDS qui crie et Firewall qui bloque tout pensant à un DOS (genre netfilter avec son module limit http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-7.html ).
Quant à free, j’ai eu une coupure du service hier soir vers 1h30 mais je sais pas du tout ce qui à été modifié.
Posté le 24 juillet 2008 à 10:10:45
Benich
Tout semble être revenu dans l’ordre pour free
Posté le 24 juillet 2008 à 10:25:48
Droïde
@Benich: je confirme
pour moi c’est redevenu normal aussi 
Posté le 24 juillet 2008 à 10:36:50
kazounet
Pour résumer, le but du patch est de rendre aléatoire les ids de transaction utilisés dans les échanges DNS ceci rendant l’exploit plus difficile à mettre en oeuvre (mais pas impossible en théorie).
Cependant, pour les DNS situés dans un réseau NAT/PAT, cette entropie (désordre en gros) est annulée du fait de la prévisibilité relative des ports sources utilisés par le PAT.
Il est donc déconseillé d’utiliser du NAT/PAT avec des DNS.
Plus d’infos ici :
http://fergdawg.blogspot.com/2008/07/us-cert-natpat-affects-dns-cache.html
Posté le 24 juillet 2008 à 10:50:05
AbriCoCotier
@Korben : comment peut-on savoir si son hébergeur de mutualisé a fait la mà j de son serveur ?
Posté le 24 juillet 2008 à 10:55:33
snash
Je me permet jusque quelques réserves sur OpenDNS.
Le service me parait une bonne initiative mais me fait un peu peur.
Si ce service s’impose, il auront tout loisir de modifier les DNS à loisir et alors a coté cette faille sera de la gnognotte.
Je sais que c’est un peu parano mais je me méfie.
Posté le 24 juillet 2008 à 11:16:44
nicobbg
Ah oui, j’me souviens qu’on a mis à jour en urgence les DNS du taf pour cette faille la semaine dernière! Et c’est bon de savoir qu’Open DNS est à jour lui aussi puisque ce sont ceux que j’utilise depuis chez moi.
Bref, tout ne vas pas si mal que ça
Posté le 24 juillet 2008 à 11:18:47
Rahimblakblog
Eh eh, quels connards ces types, il attendent même pas le 6 pour lancer un Xploit, franchement, y’a des cons sur terre ! (surtout pour le créateur qui s’est fait chier à attendre le 6 pour démontrer la vulnz du système !)
Concernant les failles de nos FAI (sic.) il y a pareil que celle des DNS mais…. chez VOUS ! Oui oui mes amis, une simple attaque CSRF sur votre box (sauf free) et hop, vous voilà dirigé vers de faux sites.
Un paper que j’ai écris l’année dernière que cela :
http://www.rahimblakblog.fr/2008/03/22/papier-sur-les-attaques-csrf-sur-les-box/
Bon je vous laisse et pensez à changer vos mots de passe de routeurs, box, etc.
Posté le 24 juillet 2008 à 11:19:41
randi
@Rahimblakblog : lis mon commentaire tu verra qu’ils font un random sur 16 bits au lieu de remonter qu seed du pseudo générateur comme ils devraient le faire pour réduire à +- 200 le nombre de fausse requêtes à effectuer pour réussir. Donc l’exploit est que très peu fonctionnel. L’exploit publié était fesable bien avant la découverte de dan kaminsky. Il existe une version améliorée de l’exploit ( http://www.caughq.org/exploits/CAU-EX-2008-0003.txt ) et on en parle ici : http://sid.rstack.org/blog/index.php/287-dns-encore-peut-etre-une-solution
Posté le 24 juillet 2008 à 11:35:49
Tsukasa
@Rahimblakblog: c’est normal que certain n’attende pas, c’est une course au 1er qui réussira a produire un sploit avec le peut d’information qu’il dispose, s’il ne le sortait pas, il perdrait …
Franchement, je la trouve enorme cette faille, par ses possibilités d’exploitation dévastatrice, mais aussi parce que elle remet en cause TOUT le fondement d’internet ! c’est une histoire sans précédent !
Je pense que je vais comme même attendre un petit mois avant d’acheter sur internet, on ne sais jamais
Je retourne essayer de comprendre comment marche la faille et sortez couvert (blagounette :D)
Posté le 24 juillet 2008 à 12:16:11
flobigom
installer pour moi
Posté le 24 juillet 2008 à 12:18:33
Rahimblakblog
Ouep mais il va se retrouver comme un con à la BH si tout le monde sait déjà comme elle fonctionne…
Le pauvre :p de toute façon, ce n’est lui qui a découvert la faille, car cela faisait déjà bien longtemps qu’on le savait (Y’a des papers du SANS institue sur cette faille.) lui, il a juste trouver comment l’exploiter facilement
Posté le 24 juillet 2008 à 12:40:29
Korben
@Benich: la faille oui mais pas l’exploit…
Posté le 24 juillet 2008 à 14:12:30
Ganiest
Je trouve le testeur de doxpara un peu moyen, je préfère largement celui la:
https://www.dns-oarc.net/
Posté le 30 juillet 2008 à 22:56:39