Cina Netcom cade preda di avvelenamento da cache DNS

Uno dei maggiori ISP (provider di servizi Internet) in Cina è caduto vittima di una pericolosa vulnerabilità nel sistema di indirizzamento di Internet, secondo il fornitore di sicurezza Websense.

Il difetto, che è stato descritto come uno dei più gravi che abbia mai influenzato Internet, può causare il reindirizzamento di siti Web fraudolenti a siti Web fraudolenti anche se l'URL (Uniform Resource Locator) è stato digitato correttamente nella barra degli indirizzi del browser.

Scoperto dal ricercatore di sicurezza Dan Kaminsky, il problema è radicato nel DNS (Domain Name System). Quando un utente digita un indirizzo Web in un browser, la richiesta viene inviata a un server DNS o a una cache, che restituisce l'indirizzo IP (protocollo Internet) corrispondente per un sito Web.

[Ulteriori informazioni: Come rimuovere il malware da il tuo PC Windows]

Ma la falla consente al server DNS di essere riempito con informazioni errate e indirizzare gli utenti a siti Web dannosi. L'attacco di China Netcom è particolarmente interessante perché riguarda solo chi ha sbagliato a digitare alcuni URL, ha detto Carl Leonard, responsabile della ricerca per la sicurezza del laboratorio europeo di Websense.

L'ultimo trucco è stato scoperto dal laboratorio di Pechino di Websense, alcuni dei quali hanno utilizzato China Netcom come il loro ISP, ha detto Leonard. Websense ha visto altri attacchi DNS, ma ha scelto di pubblicizzare questo particolare a causa della sua esecuzione interessante, ha detto.

Gli hacker hanno manomesso uno dei server DNS di China Netcom per reindirizzare solo gli utenti che digitano, ad esempio, gogle.cn di google.cn. In questo modo, meno utenti vengono indirizzati a siti Web dannosi, ma la strategia è di mantenere gli attacchi di profilo inferiore in modo da non attirare l'attenzione.

"Gli autori di malcode stanno cercando di rimanere sotto il radar", ha detto Leonard.

Le vittime vengono reindirizzate a siti Web dannosi, alcuni dei quali sono ancora attivi, che tentano di sfruttare vulnerabilità note in software come RealPlayer Player RealPlayer e Adobe System Flash Player.

Un altro exploit tenta di sfruttare un problema con un controllo ActiveX per Snapshot Viewer di Microsoft, utilizzato per visualizzare report per Microsoft Access, un programma di database relazionale.

Anche se Adobe, Microsoft e RealPlayer hanno rilasciato patch per alcune di queste vulnerabilità, gli hacker continuano a vedere opportunità. "Ci dice che le persone non hanno applicato queste patch", ha detto Leonard.

Se un exploit ha successo, il PC scaricherà un programma di Trojan Horse che interrompe gli aggiornamenti per il software antivirus, ha detto Leonard. Websense ha comunicato a China Netcom ma non è ancora sicuro se il server DNS è stato riparato.

Kaminsky e altri ricercatori hanno coordinato un'enorme campagna segreta con i fornitori per correggere i loro software DNS, ma i dettagli su come sfruttare il difetto sono trapelati il ​​21 luglio Tuttavia, non tutti gli ISP hanno ancora aggiornato le patch, mettendo a rischio alcuni utenti. Inoltre, le patch disponibili riducono la probabilità di successo di un attacco piuttosto che proteggere completamente un server DNS contro un attacco, ha detto Leonard.

"Deve esserci una soluzione a lungo termine disponibile", ha detto Leonard.