Scoperta vulnerabilità in tre DNS-as-a-Service

Scoperta vulnerabilità in tre DNS-as-a-Service

Due ricercatori hanno scoperto una vulnerabilità nella piattaforme DNS-as-a-Service di tre provider, due dei quali sono Amazon e Google.
Due ricercatori hanno scoperto una vulnerabilità nella piattaforme DNS-as-a-Service di tre provider, due dei quali sono Amazon e Google.

Due ricercatori di sicurezza hanno svelato i dettagli di una vulnerabilità scoperta in tre piattaforme DNS-as-a-Service che può essere sfruttata per intercettare il traffico in ingresso alle reti aziendali e accedere a diverse informazioni sensibili. Due provider (Amazon e Google) hanno già rilasciato una patch risolutiva, mentre il terzo (ignoto) lo farà nei prossimi giorni.

DNS-as-a-Service: un bug pericoloso

I provider DNS-as-a-Service offrono alle aziende la possibilità di “affittare” i server DNS, evitando i costi di gestione di un'infrastruttura interna. Le aziende devono quindi integrare i loro nomi di dominio con il name server del provider (ad esempio ns-1611.awsdns-09.co.uk nel caso di AWS). I computer interrogano il server DNS esterno per ottenere l'indirizzo IP dei siti.

I ricercatori hanno scoperto che alcuni provider non hanno nascosto i loro server DNS all'interno dei backend. Ciò permette di intercettare il traffico DNS proveniente dal name server del provider. Non è possibile lo sniffing del traffico in tempo reale, ma gli aggiornamenti dinamici DNS permettono di conoscere le aziende che usano il servizio e di creare una mappa delle loro reti interne.

Amazon e Google hanno risolto la vulnerabilità, bloccando la registrazione del nomi di dominio all'interno dei backend, quindi gli update dinamici non sono più intercettabili. Secondo i ricercatori, il problema di base è che questo tipo di traffico viene consentito dalle impostazioni predefinite dei server Windows. Microsoft ha consigliato di seguire le sue linee guida.

I due ricercatori hanno registrato il traffico DNS di oltre 15.000 organizzazioni, 130 delle quali erano agenzie governative. Durante i test hanno individuato indirizzi IP interni ed esterni, i nomi dei computer e anche i nomi dei dipendenti. Queste informazioni potrebbero essere sfruttate per eseguire attacchi informatici molto precisi.

Fonte: The Record
Link copiato negli appunti

Ti potrebbe interessare

05 08 2021
Link copiato negli appunti