Faille DNS : Le grand "buzz" de ces derniers jours

L'évènement est assez rare pour le noter : Ces derniers jours, la sécurité informatique a fait les gros titres de certains journaux et l'information a même été relayée sur les ondes radio. Le sujet de toutes ces attentions : Le protocole DNS. L'alerte ayant été lancée Mardi 8 Juillet par le CERT-US

Le DNS, dont le rôle est de traduire les noms de sites en des adresses IP, est au cœur du fonctionnement de l'Internet : Si cet "aiguilleur de l'Internet" se grippe tout tombe en panne ou fonctionne de manière erratique...

Le problème ? Il est possible de tromper cet aiguilleur. Mais qu'en est-il vraiment ? Fuzz/Buzz/bullshit ou la menace est-elle bien réelle ?

Update: Un message à l'attention des clients Orange Business est disponible en fin de bulletin.

Update: A message for Orange Business corporate customers is available at the bottom of this post.

En simplifiant quelque peu (mais pas trop !) ; le système DNS repose sur 2 types de serveurs : D'un coté ceux dits "autoritaires" et les autres dits "resolvers". Les premiers ont les réponses aux questions, les seconds ne sont que des relais ou mandataires.

Quand vous souhaitez accéder à un site web (www.lesite.com), votre navigateur va demander à son serveur DNS le "plus proche", typiquement un resolver, de lui donner l'adresse IP correspondante : Celui-ci ne connaissant pas la réponse va consulter le serveur qui gère le domaine "lesite.com", typiquement un serveur autoritaire, afin d'obtenir la réponse à la question et la retransmettre finalement au navigateur.

Les communications entre serveurs DNS sont normalement "sécurisées" via des mécanismes de numéro de requêtes et autres informations réseau. La faille qui a été annoncée tiens dans le fait qu'un attaquant peut "tromper" le serveur DNS resolver en lui envoyant une réponse plus rapidement que le serveur autoritaire, et donc définir l'adresse IP vers laquelle la connexion sera établie.

En fonction des objectifs de l'attaquant, celui-ci pourra capturer, écouter ou encore modifier les communications entre votre navigateur et le site web : Il lui sera donc aisé de collecter vos identifiants de connexion, vos cookies ou encore de visualiser les pages consultées.... Une attaque de "Man-In-the-Middle" dans la plus pure des formes, le tout à votre insu.

Cette faille est donc bien réelle est il est nécessaire de s'en protéger.

Cela concerne aussi bien les serveurs DNS publics des ISPs (qui sont des cibles de choix car utilisés par un très grand nombre d'utilisateurs) mais à aussi potentiellement impactant dans un contexte entreprise.

Les postes de travail ne sont pas non plus épargnés : Microsoft a récemment mis à disposition des correctifs (Microsoft Security Bulletin MS08-037 – Vulnerabilities in DNS Could Allow Spoofing) pour ses systèmes d'exploitation : Comme indiqué, cette faille concerne aussi bien les serveurs DNS que les postes de travail : Donc les attaques en local depuis un LAN sont possibles.

En quoi consiste cette faille ? Elle est plutôt simple : Les numéros de ports sélectionnés par les resolvers et autres serveurs DNS, ainsi que les numéros de requêtes, utiliser pour rentre uniques les requêtes ne sont pas assez aléatoires : Il est donc à priori aisé pour un attaquant de prédire les numéros de ports et numéro de requêtes et donc de répondre à la place du serveur DNS vers qui la requête à été initialement envoyée.

Que faire ?

  1. Pour commerncer, patcher en priorité les serveurs DNS "resolver" exposés à Internet
  2. Ensuite, patcher les serveurs DNS internes
  3. Et en dessert, mettre à jour les resolvers DNS intégrés dans les postes de travail.

.... Encore tout un programme. Ceci dit, comme votre management est (une fois n'est pas coutume) au fait du problème vous devriez pouvoir valoriser aisément ces actions de sécurisation. :-)

Cette faille n'est pas aussi "nouvelle" que cela : Elle aurait été découverte en 2005, mais aurait été ignorée pour d'obscures raisons... Pour en savoir plus, je vous invite à consulter le "Kudo" du SANS ISC fait à Ian Green pour son papier intitulé "DNS Spoofing by The Man In The Middle, Janvier 2005".

La solution à terme ? Utiliser DNSSEC, la version sécurisée du protocole DNS qui l'utilisation d'une PKI permet d'assurer la sécurité du système. Le problème, c'est que c'est encore assez loin d'être déployé. Les événements de ces derniers aideront-ils à une prise de conscience ? L'avenir nous le dira.

---------- INFORMATION SPECIALE POUR LES CLIENTS ORANGE BUSINESS ----------

La solution à ce problème consiste à déployer les correctifs des éditeurs qui nous ont été livrés ou qui sont en cours de livraison.

Le déploiement de ces correctifs est actuellement en cours de finalisation, celui est réalisé en fonction de l'exposition aux risques que ces derniers présentent et en limitant les perturbations toujours possibles lors d'une telle opération.

Orange Business est donc au courant de la situation et nous traitons le problème.

Pour demande de précisions ou questions, veuillez contacter votre support technique habituel ou votre contact commercial.

---------- SPECIAL INFORMATION FOR ORANGE BUSINESS CUSTOMERS ----------

Most of the concerned software and hardware providers have issued or are issuing appropriate patches.

Orange Business if fully aware of the issue and we are patching exposed DNS systems while avoiding any disturbance to business critical activities.

For more information or specific queries, please liaise with your customer support or business representative.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens