Lanzamiento de código de ataque para nuevo ataque de DNS

Los hackers han lanzado un software explota una falla recientemente revelada en el software del Sistema de Nombres de Dominio (DNS) utilizado para enrutar mensajes entre computadoras en Internet.

El código de ataque fue lanzado el miércoles por los desarrolladores del juego de herramientas de piratería Metasploit.

Los expertos en seguridad de Internet advierten que El código puede dar a los delincuentes una forma de lanzar ataques de phishing prácticamente indetectables contra los usuarios de Internet cuyos proveedores de servicios no han instalado los últimos parches de servidor DNS.

[Lectura adicional: Los mejores NAS para streaming y copia de seguridad]

Los atacantes también podrían usar el código para redirigir silenciosamente a los usuarios a falsos servidores de actualización de software para instalar software malicioso en sus computadoras, dijo Zulfikar Ramizan, director técnico del proveedor de seguridad Symantec. "Lo que hace que todo esto sea realmente aterrador es que desde la perspectiva del usuario final pueden no notar nada", dijo.

El error fue revelado por primera vez por el investigador de IOActive Dan Kaminsky a principios de este mes, pero los detalles técnicos del defecto se filtró a Internet a principios de esta semana, haciendo posible el código de Metasploit. Kaminsky había trabajado durante varios meses con los principales proveedores de software DNS, como Microsoft, Cisco y el Consorcio de Sistemas de Internet (ISC) para desarrollar una solución al problema. Los usuarios corporativos y proveedores de servicios de Internet que son los principales usuarios de servidores DNS han tenido desde el 8 de julio para corregir el error, pero muchos aún no han instalado la corrección en todos los servidores DNS.

El ataque es una variación de lo que se conoce como un ataque de envenenamiento de caché. Tiene que ver con la forma en que los clientes y servidores DNS obtienen información de otros servidores DNS en Internet. Cuando el software DNS no conoce la dirección numérica de IP (Protocolo de Internet) de una computadora, solicita esta información a otro servidor DNS. Con el envenenamiento de caché, el atacante engaña al software DNS para hacerle creer que los dominios legítimos, como idg.com, asignan direcciones IP maliciosas.

En el ataque de Kaminsky, un intento de envenenamiento de caché también incluye lo que se conoce como "Registro de recursos adicionales".. Al agregar estos datos, el ataque se vuelve mucho más poderoso, dicen los expertos en seguridad.

Un atacante podría lanzar tal ataque contra los servidores de nombres de dominio de un ISP (proveedor de servicios de Internet) y luego redirigirlos a servidores maliciosos. Al envenenar el registro del nombre de dominio de www.citibank.com, por ejemplo, los atacantes podrían redirigir a los usuarios del ISP a un servidor de phishing malicioso cada vez que intentaran visitar el sitio bancario con su navegador web.

El lunes, compañía de seguridad Matasano accidentalmente publicó detalles de la falla en su sitio web. Matasano retiró rápidamente la publicación y se disculpó por su error, pero ya era demasiado tarde. Los detalles de la falla pronto se propagaron por Internet.

Aunque la mayoría de los usuarios del software DNS ya tienen disponible un arreglo de software, estas actualizaciones pueden tardar un tiempo en realizarse durante el proceso de prueba y realmente instalarse en la red.

"La mayoría de la gente no ha parcheado todavía", dijo el presidente de ISC, Paul Vixie, en una entrevista por correo electrónico a principios de esta semana. "Ese es un problema gigantesco para el mundo".

El código de Metasploit parece "muy real" y utiliza técnicas que no estaban documentadas previamente, dijo Amit Klein, director de tecnología de Trusteer.

Probablemente se usará en ataques, él predijo. "Ahora que el exploit está disponible, combinado con el hecho de que no todos los servidores DNS se actualizaron … los atacantes deberían poder envenenar el caché de algunos ISP", escribió en una entrevista por correo electrónico. "El asunto es que nunca podremos saber sobre tales ataques, si los atacantes … trabajan con cuidado y cubren sus pistas adecuadamente".