Código de ataque liberado para novo ataque DNS

Hackers lançaram software que explora uma falha recentemente divulgada no software do Sistema de Nomes de Domínio (DNS) usado para rotear mensagens entre computadores na Internet.

O código de ataque foi divulgado na quarta-feira pelos desenvolvedores do kit de ferramentas de hackers Metasploit. código pode dar aos criminosos uma maneira de lançar ataques de phishing virtualmente indetectáveis ​​contra usuários da Internet cujos provedores de serviços não instalaram os patches de servidores DNS mais recentes.

[Outras leituras: Melhores caixas NAS para streaming e backup de mídia]

o código para silenciosamente redirecionar os usuários para os falsos servidores de atualização de software, a fim de instalar softwares maliciosos em seus computadores, disse Zulfikar Ramizan, diretor técnico da empresa de segurança Symantec. "O que torna tudo isso realmente assustador é que, do ponto de vista do usuário final, eles podem não perceber nada", disse ele. O bug foi divulgado pela primeira vez pelo pesquisador IOActive Dan Kaminsky no início deste mês, mas detalhes técnicos da falha vazou na Internet no início desta semana, tornando possível o código Metasploit. Kaminsky havia trabalhado por vários meses com grandes provedores de software de DNS, como Microsoft, Cisco e o Internet Systems Consortium (ISC), para desenvolver uma solução para o problema. Os usuários corporativos e provedores de serviços de Internet que são os principais usuários de servidores DNS desde o dia 8 de julho corrigiram a falha, mas muitos ainda não instalaram a correção em todos os servidores DNS.

O ataque é uma variação do que é conhecido como um ataque de envenenamento de cache. Tem a ver com a maneira como os clientes e servidores DNS obtêm informações de outros servidores DNS na Internet. Quando o software DNS não conhece o endereço IP (Internet Protocol) numérico de um computador, ele solicita a outro servidor DNS essa informação. Com o envenenamento de cache, o invasor engana o software DNS para acreditar que domínios legítimos, como idg.com, mapeiam para endereços IP maliciosos.

No ataque de Kaminsky, uma tentativa de envenenamento de cache também inclui os dados conhecidos como "Registro de Recurso Adicional". Ao adicionar esses dados, o ataque se torna muito mais poderoso, dizem os especialistas em segurança.

Um invasor pode iniciar um ataque desses contra os servidores de nome de domínio de um provedor de serviços de Internet e redirecioná-los para servidores mal-intencionados. Ao envenenar o registro de nome de domínio para www.citibank.com, por exemplo, os invasores poderiam redirecionar os usuários do ISP para um servidor malicioso de phishing toda vez que tentassem visitar o site bancário com seu navegador da Web.

Na segunda-feira, empresa de segurança Matasano postou acidentalmente detalhes da falha em seu site. Matasano rapidamente removeu o post e se desculpou pelo erro, mas já era tarde demais. Detalhes da falha logo se espalharam pela Internet

Embora uma correção de software esteja agora disponível para a maioria dos usuários de software DNS, pode levar algum tempo para que essas atualizações funcionem durante o processo de teste e sejam instaladas na rede.

"A maioria das pessoas ainda não corrigiu", disse o presidente do ISC, Paul Vixie, em uma entrevista por e-mail no início desta semana. "Esse é um problema gigantesco para o mundo."

O código do Metasploit parece "muito real" e usa técnicas que não foram documentadas anteriormente, disse Amit Klein, diretor de tecnologia da Trusteer.

Provavelmente será usado em ataques, ele previu. "Agora que o exploit está lá fora, combinado com o fato de que nem todos os servidores DNS foram atualizados … os atacantes devem ser capazes de envenenar o cache de alguns ISPs", escreveu ele em entrevista por e-mail. "A coisa é - nós podemos nunca saber sobre tais ataques, se os atacantes … trabalharem cuidadosamente e cobrirem seus rastros apropriadamente."