Partager via


Vulnérabilité du serveur DNS aux attaques d’espionnage du cache du serveur DNS

Cet article fournit une solution à un problème lié à la vulnérabilité du serveur DNS aux attaques d’espionnage du cache du serveur DNS.

Numéro de la base de connaissances d’origine : 2678371

Symptômes

Qu’est-ce que le « dns cache snooping » et comment l’empêcher ? décrit l’exploration du cache DNS comme suit :

L’espionnage du cache DNS est lorsque quelqu’un interroge un serveur DNS afin de déterminer (snoop) si le serveur DNS a un enregistrement DNS spécifique mis en cache, et donc de déduire si le propriétaire du serveur DNS (ou ses utilisateurs) ont récemment visité un site spécifique.
Cela peut révéler des informations sur le propriétaire du serveur DNS, telles que le fournisseur, la banque, le fournisseur de services, etc. qu’il utilise. Surtout si cela est confirmé (snooped) plusieurs fois sur une période.
Cette méthode peut même être utilisée pour collecter des informations statistiques , par exemple à quel moment le propriétaire du serveur DNS accède-t-il généralement à sa banque nette, etc. La valeur TTL restante de l’enregistrement DNS mis en cache peut fournir des données très précises pour cela.

L’espionnage du cache DNS est possible même si le serveur DNS n’est pas configuré pour résoudre de manière récursive pour les tiers, à condition qu’il fournisse également des enregistrements du cache à des tiers.

Les audits de sécurité peuvent signaler que diverses implémentations de serveur DNS sont vulnérables aux attaques de mise en cache qui permettent à un attaquant distant d’identifier les domaines et les hôtes qui ont été [récemment] résolus par un serveur de noms donné.

Une fois que ce rapport de vulnérabilité d’espionnage du cache est lu :

Divulgation des informations distantes du cache du serveur DNS
Synopsis:
Le serveur DNS distant est vulnérable aux attaques d’espionnage du cache.
Description :
Le serveur DNS distant répond aux requêtes pour les domaines tiers qui n’ont pas le bit de récursivité défini. Cela peut permettre à un attaquant distant de déterminer quels domaines ont été récemment résolus via ce serveur de noms, et par conséquent quels hôtes ont été récemment visités. Par exemple, si un attaquant souhaitait savoir si votre entreprise utilise les services en ligne d’une institution financière particulière, il serait en mesure d’utiliser cette attaque pour créer un modèle statistique concernant l’utilisation de cette institution financière par l’entreprise. Bien sûr, l’attaque peut également être utilisée pour trouver des partenaires B2B, des modèles de navigation web, des serveurs de messagerie externes, etc. Remarque : s’il s’agit d’un serveur DNS interne qui n’est pas accessible aux réseaux externes, les attaques sont limitées au réseau interne. Cela peut inclure des employés, des consultants et des utilisateurs potentiels sur un réseau invité ou une connexion Wi-Fi si elle est prise en charge.
Facteur de risque :
Moyen
Score de base CVSS : 5.0
CVSS2#AV :N/AC :L/Au :N/C :P/I :N/A :N
Voir aussi :
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
Solution:
Pour obtenir un correctif, contactez le fournisseur du logiciel DNS.

Cause

Cette erreur est généralement signalée sur les serveurs DNS qui effectuent une récursivité.

Résolution

Il n’existe aucun correctif de code, car il s’agit d’un choix de configuration.

Il existe trois options :

  1. Laissez la récursivité activée si le serveur DNS reste sur un réseau d’entreprise qui n’est pas accessible par les clients non approuvés

  2. Ne pas autoriser l’accès public aux serveurs DNS effectuant la récursivité

  3. Désactiver la récursivité

Informations supplémentaires

Par défaut, les serveurs DNS Microsoft sont configurés pour autoriser la récursivité.

La récursivité des noms peut être désactivée globalement sur un serveur DNS Microsoft, mais pas par client ou par interface.

La majorité des serveurs DNS Microsoft sont associés au rôle serveur contrôleur de domaine. Ces serveurs hébergent généralement des zones et résolvent les noms DNS des appareils | appliances, clients membres, serveurs membres et contrôleurs de domaine dans une forêt Active Directory, mais peuvent également résoudre les noms de parties plus importantes d’un réseau d’entreprise. Étant donné que les serveurs DNS Microsoft sont généralement déployés derrière des pare-feu sur les réseaux d’entreprise, ils ne sont pas accessibles aux clients non approuvés. Les administrateurs de serveurs dans ce paramètre doivent déterminer si la désactivation ou la limitation de la récursivité DNS est nécessaire.

La désactivation de la récursivité globale n’est pas un changement de configuration qui doit être pris à la légère, car cela signifie que le serveur DNS ne peut pas résoudre les noms DNS sur les zones qui ne sont pas conservées localement. Cela nécessite une planification DNS minutieuse. Par exemple, les clients ne peuvent généralement pas être pointés directement vers ces serveurs.

La décision de désactiver la récursivité (ou non) doit être prise en fonction du rôle que le serveur DNS est censé jouer dans le déploiement. Si le serveur est destiné à récurser les noms de ses clients, la récursivité ne peut pas être désactivée. Si le serveur est destiné à retourner des données uniquement en dehors des zones locales et n’est jamais destiné à récurser ou à transférer pour les clients, la récursivité peut être désactivée.