Rilascio del codice di attacco per il nuovo attacco DNS

Gli hacker hanno rilasciato software che sfrutta un difetto rivelato di recente nel software Domain Name System (DNS) utilizzato per instradare i messaggi tra computer su Internet.

Il codice di attacco è stato rilasciato mercoledì dagli sviluppatori del toolkit di hacking Metasploit.

Gli esperti di sicurezza Internet avvertono che questo il codice può dare ai criminali un modo per lanciare attacchi di phishing virtualmente non rilevabili contro gli utenti di Internet i cui provider di servizi non hanno installato le ultime patch del server DNS.

[Ulteriori letture: i migliori NAS per lo streaming multimediale e il backup]

Gli hacker potrebbero anche usare il codice per reindirizzare silenziosamente gli utenti a falsi server di aggiornamento software per installare software dannoso sui loro computer, ha dichiarato Zulfikar Ramizan, un direttore tecnico con il fornitore di sicurezza Symantec. "Ciò che rende questa cosa davvero spaventosa è che dal punto di vista dell'utente finale potrebbero non notare nulla", ha detto.

Il bug è stato divulgato dal ricercatore di IOActive Dan Kaminsky all'inizio di questo mese, ma i dettagli tecnici del difetto sono stati trapelato su Internet all'inizio di questa settimana, rendendo possibile il codice Metasploit. Kaminsky aveva lavorato per diversi mesi con importanti fornitori di software DNS come Microsoft, Cisco e Internet Systems Consortium (ISC) per sviluppare una soluzione al problema. Gli utenti aziendali e i provider di servizi Internet che sono i principali utenti dei server DNS hanno avuto a partire dall'8 luglio patch per i difetti, ma molti non hanno ancora installato la correzione su tutti i server DNS.

L'attacco è una variante di ciò che è noto come un attacco avvelenato dalla cache. Ha a che fare con il modo in cui client e server DNS ottengono informazioni da altri server DNS su Internet. Quando il software DNS non conosce l'indirizzo IP (Internet Protocol) numerico di un computer, richiede un altro server DNS per queste informazioni. Con l'avvelenamento della cache, l'hacker induce il software DNS a credere che domini legittimi, come idg.com, mappano indirizzi IP dannosi.

Nell'attacco di Kaminsky un tentativo di avvelenamento da cache include anche i dati noti come "Record di risorse aggiuntive". Aggiungendo questi dati, l'attacco diventa molto più potente, affermano gli esperti di sicurezza.

Un utente malintenzionato potrebbe lanciare un simile attacco contro i server dei nomi di dominio di un provider di servizi Internet (ISP) e quindi reindirizzarli a server dannosi. Avvelenando il record del nome di dominio per www.citibank.com, ad esempio, gli aggressori potevano reindirizzare gli utenti dell'ISP a un server di phishing malevolo ogni volta che tentavano di visitare il sito bancario con il loro browser Web.

Lunedì, società di sicurezza Matasano ha accidentalmente pubblicato i dettagli della falla sul suo sito Web. Matasano rimosse rapidamente la posta e si scusò per l'errore, ma era troppo tardi. I dettagli della falla si diffondono presto su Internet.

Anche se una correzione software è ora disponibile per la maggior parte degli utenti del software DNS, può richiedere del tempo perché questi aggiornamenti si facciano strada attraverso il processo di test e vengano effettivamente installati sulla rete.

"La maggior parte delle persone non ha ancora aggiornato le patch", ha detto il presidente dell'ISC Paul Vixie in un'intervista via e-mail all'inizio di questa settimana. "Questo è un problema gigantesco per il mondo."

Il codice di Metasploit sembra "molto reale" e utilizza tecniche che non erano state documentate in precedenza, ha detto Amit Klein, responsabile della tecnologia con Trusteer.

Probabilmente sarà usato negli attacchi, ha predetto. "Ora che l'exploit è là fuori, combinato con il fatto che non tutti i server DNS sono stati aggiornati … gli aggressori dovrebbero essere in grado di avvelenare la cache di alcuni ISP", ha scritto in un'intervista via e-mail. "Il fatto è che potremmo non sapere mai di simili attacchi, se gli attaccanti … lavorano con attenzione e coprono correttamente le loro tracce."