Fino a febbraio di quest’anno, il servizio DNS di Amazon Route53 ha fornito capacità di intercettazione della rete ampiamente sottovalutate. Questa opzione di spionaggio non documentata era disponibile anche in Google Cloud DNS e in almeno un altro provider di servizi DNS.

in un un’offerta All’inizio di questa settimana alla conferenza sulla sicurezza Black Hat USA 2021 a Las Vegas, Nevada, Cher Tamari e Amy Luttwak della società di sicurezza Wiz hanno descritto come hanno trovato un difetto nel dirottare un server di nomi DNS che ha permesso loro di spiare Traffico DNS dinamico da altri clienti.

Tamari spiegato in Post sul blog. “Essenzialmente, abbiamo attinto al traffico di rete interno di 15.000 organizzazioni (incluse aziende Fortune 500 e agenzie governative) e milioni di dispositivi”.

Per fare ciò, tutto ciò che era necessario era registrare un nuovo dominio su Route53 con lo stesso nome del server DNS AWS ufficiale. Più specificamente, hanno creato una nuova “zona ospitata” all’interno del server dei nomi AWS ns-1611.awsdns-09.co.uk chi li ha licenziati ns-852.awsdns-42.net.

“Quando aggiungi un dominio a Route53, vengono selezionati quattro diversi server DNS per gestire il dominio”, ha spiegato Tamari. “Ci siamo assicurati che qualsiasi server dei nomi che registriamo sulla piattaforma sia sotto la stessa gestione del server”.

Dopo che questo processo è stato ripetuto su circa 2.000 server dei nomi su AWS, hanno avuto il controllo parziale della regione ospitata e l’hanno indirizzata al loro indirizzo IP. In questo modo, quando il client DNS interroga il server dei nomi su se stesso, cosa comune nelle impostazioni DNS dinamiche, acquisisce questo traffico DNS dinamico.

Tamari e Luttwak hanno trovato una varietà di dati sensibili durante il loro esperimento, inclusi nomi di computer, nomi di dipendenti, posizioni degli uffici e informazioni sulle risorse Web esposte delle organizzazioni. Ad esempio, hanno affermato di aver identificato una società che sembra violare le sanzioni commerciali statunitensi. I nemici malintenzionati possono utilizzare questi dati per aiutare a lanciare attacchi alla rete.

Secondo Tamari, Amazon e Google hanno risolto questo problema nei loro servizi DNS, ma altri provider DNS potrebbero essere ancora a rischio. Tre dei sei provider DNS che hanno trovato erano a rischio, hanno detto i ricercatori.

I ricercatori attribuiscono la vulnerabilità al metodo DNS dinamico di Microsoft (RFC 2136) L’algoritmo funziona in Windows.

“L’hardware Microsoft utilizza un algoritmo univoco per trovare e aggiornare il server DNS principale quando cambia un indirizzo IP”, ha spiegato Tamari. “Alla fine, l’algoritmo cercherà l’indirizzo del server dei nomi hackerato”. Questo invia il traffico DNS dinamico all’indirizzo IP dannoso.

Tamari ha detto che Microsoft, tuttavia, non ha intenzione di rivedere il suo algoritmo, perché Redmond non lo considera una vulnerabilità di sicurezza. Invece, l’azienda lo considera un problema di configurazione errata noto quando i client lavorano con resolver DNS esterni.

Microsoft non ha risposto immediatamente a una richiesta di commento.

Tamari ha affermato che spetta alle organizzazioni configurare i propri resolver DNS per impedire che gli aggiornamenti DNS dinamici lascino la loro rete.

Un portavoce dell’azienda ha detto in una dichiarazione inviata via e-mail a disco. “Apprezziamo il lavoro di Wiz.io e gli sforzi della comunità più ampia per identificare potenziali vulnerabilità come questa”.

Amazon non ha risposto immediatamente a una richiesta di commento. ®