China Netcom Falls presa de envenenamiento de caché DNS

Uno de los ISP más grandes de China (proveedores de servicios de Internet) ha sido víctima de una peligrosa vulnerabilidad en el sistema de direccionamiento de Internet, según el proveedor de seguridad Websense.

La falla, que ha sido descrita como una de las más serias que haya afectado Internet, puede redirigir a los internautas a sitios web fraudulentos incluso si la URL (Localizador Uniforme de Recursos) ha sido escrita correctamente en la barra de direcciones de un navegador.

Descubierto por el investigador de seguridad Dan Kaminsky, el problema radica en el DNS (Sistema de nombres de dominio). Cuando un usuario escribe una dirección web en un navegador, la solicitud va a un servidor DNS o a un caché, que devuelve la dirección IP numérica correspondiente (protocolo de Internet) para un sitio web.

[Más información: cómo eliminar el malware de su PC con Windows]

Pero la falla permite que el servidor DNS se llene con información incorrecta y dirija a los usuarios a sitios web maliciosos. El ataque de China Netcom es particularmente interesante porque solo afecta a aquellos que escriben mal ciertas URL, dijo Carl Leonard, gerente de investigación de seguridad para el laboratorio europeo de Websense.

El último hack fue descubierto por el laboratorio de Websense en Beijing, algunos de cuyos investigadores usan China Netcom como su ISP, dijo Leonard. Websense ha visto otros ataques de DNS, pero optó por publicitar este en particular debido a su ejecución interesante, dijo.

Los hackers manipularon uno de los servidores DNS de China Netcom para redirigir solo a los usuarios que escriben, por ejemplo, gogle.cn que google.cn De esta forma, se dirigen menos usuarios a sitios web maliciosos, pero la estrategia es mantener los ataques en un perfil más bajo para no llamar la atención.

"Los autores del malcode intentan mantenerse ocultos", dijo Leonard.

Las víctimas son redirigidas a sitios web maliciosos, algunos de los cuales todavía están activos, que intentan explotar vulnerabilidades conocidas en software como el reproductor multimedia RealPlayer de RealNetworks y Adobe Flash Player.

Otro exploit intenta aprovechar un problema con un control ActiveX para Snapshot Viewer de Microsoft, utilizado para ver informes de Microsoft Access, un programa de base de datos relacional.

Aunque Adobe, Microsoft y RealPlayer han emitido parches para algunas de esas vulnerabilidades, los hackers todavía ven oportunidades. "Nos dice que la gente no ha aplicado esos parches", dijo Leonard.

Si un exploit es exitoso, la PC descargará un programa troyano que apaga las actualizaciones para el software antivirus, dijo Leonard. Websense notificó a China Netcom pero aún no está seguro si el servidor DNS ha sido reparado.

Kaminsky y otros investigadores coordinaron una campaña secreta masiva con proveedores para parchar su software DNS, pero los detalles sobre cómo explotar la falla se filtraron el 21 de julio Sin embargo, no todos los ISP han aplicado parches, lo que pone en riesgo a algunos usuarios. Además, los parches disponibles solo disminuyen la probabilidad de éxito de un ataque en lugar de asegurar por completo un servidor DNS contra un ataque, dijo Leonard.

"Tiene que haber una solución a más largo plazo disponible", dijo Leonard.