L'arsenic du net, ou l'empoisonnement des serveurs DNS
Un serveur DNS, pour ceux qui ne connaîtraient pas, est un serveur dont la ...
Un serveur DNS, pour ceux qui ne connaîtraient pas, est un serveur dont la tâche est, brièvement, de transformer les adresses écrites dans la barre de votre navigateur en adresses IP. A ce titre, les 4, 24 et 25 Mars ont eu lieu des empoisonnements de cache de serveur DNS.
Kesako encore ce bazar ?
Les serveurs possèdent une mémoire cache stockant les accès déjà réalisés lors de requêtes faites par les utilisateurs. En cas d'une autre demande, le serveur se réfère au cache, comme les navigateurs vont chercher les images, sons et vidéo dans le cache pour ne pas avoir à les retélécharger. Et hop, gain de temps.
Les attaques dont nous parlons ici consistent à s'introduire dans le serveur DNS et à aller manipuler cette mémoire cache. Une fois qu'on a accès à ce bazar, on change quelques liens, histoire de tendre quelques pièges avec des sites importants. En pratique ? En voulant vous rendre sur un site très fréquenté tels msn.com et même redhat.com, vous vous trouvez réorienté vers un site n'ayant aucun rapport.
Ici, nul besoin de déguiser le site, il ne s'agit pas de phishing. Une fois fraîchement débarqué sur le site en question, vous vous dites que tout a bien changé depuis la dernière fois. D'ailleurs, le site est surtout conçu pour vous faire avaler un maximum de spywares.
665 noms de domaines ont ainsi été affectés, dont MSN, RedHat, American Express ou encore CNN. Bref, des sites à très fortes fréquentations. L'utilisateur ne peut absolument rien faire pour éviter la redirection car l'action ne dépend pas de lui. Les administrateurs réseaux devraient, eux, vérifier la configuration de leurs serveurs.
Techniquement, ce sont les serveurs fonctionnant sous Windows NT 4.0 et Windows 2000 avec un Service Pack inférieur au 3 qui sont les plus à risque. En effet, la configuration par défaut ne prévoit absolument pas ce type d'attaque. A partir du SP3, tout va bien, ou mieux, ainsi que pour Windows 2003 Server. Kyle Haugsness, analyste de l'ISC (Internet Storm Center), indique que la plateforme toutefois souffre d'une faille au niveau de l'architecture même qui faciliterait l'empoisonnement du cache des serveurs DNS.
La dernière attaque en date du 25 Mars continue en fait toujours en raison d'un mauvais nettoyage du cache à la suite de la détection du problème.
Kesako encore ce bazar ?
Les serveurs possèdent une mémoire cache stockant les accès déjà réalisés lors de requêtes faites par les utilisateurs. En cas d'une autre demande, le serveur se réfère au cache, comme les navigateurs vont chercher les images, sons et vidéo dans le cache pour ne pas avoir à les retélécharger. Et hop, gain de temps.
Les attaques dont nous parlons ici consistent à s'introduire dans le serveur DNS et à aller manipuler cette mémoire cache. Une fois qu'on a accès à ce bazar, on change quelques liens, histoire de tendre quelques pièges avec des sites importants. En pratique ? En voulant vous rendre sur un site très fréquenté tels msn.com et même redhat.com, vous vous trouvez réorienté vers un site n'ayant aucun rapport.
Ici, nul besoin de déguiser le site, il ne s'agit pas de phishing. Une fois fraîchement débarqué sur le site en question, vous vous dites que tout a bien changé depuis la dernière fois. D'ailleurs, le site est surtout conçu pour vous faire avaler un maximum de spywares.
665 noms de domaines ont ainsi été affectés, dont MSN, RedHat, American Express ou encore CNN. Bref, des sites à très fortes fréquentations. L'utilisateur ne peut absolument rien faire pour éviter la redirection car l'action ne dépend pas de lui. Les administrateurs réseaux devraient, eux, vérifier la configuration de leurs serveurs.
Techniquement, ce sont les serveurs fonctionnant sous Windows NT 4.0 et Windows 2000 avec un Service Pack inférieur au 3 qui sont les plus à risque. En effet, la configuration par défaut ne prévoit absolument pas ce type d'attaque. A partir du SP3, tout va bien, ou mieux, ainsi que pour Windows 2003 Server. Kyle Haugsness, analyste de l'ISC (Internet Storm Center), indique que la plateforme toutefois souffre d'une faille au niveau de l'architecture même qui faciliterait l'empoisonnement du cache des serveurs DNS.
La dernière attaque en date du 25 Mars continue en fait toujours en raison d'un mauvais nettoyage du cache à la suite de la détection du problème.
Source :
Information Week
Vincent_H
le 7 avril 2005 à 15:50
(7 599
lectures)
Actualités et brèves relatives
- 07 / 04 / 2005 : Get The facts, Microsoft repart en campagne contre Linux
- 07 / 04 / 2005 : Dix choses dont Longhorn aurait besoin
- 06 / 04 / 2005 : Ericsson, un pirate décroche
- 06 / 04 / 2005 : 50% d'incidents viraux en plus pour 2004 sur les PC
- 05 / 04 / 2005 : JavaScript ouvre une faille dans Firefox et Netscape
- 05 / 04 / 2005 : Un nouveau ver, l'usager de MSN Messenger trinque
- 04 / 04 / 2005 : Deux failles cachées dans Internet Explorer et Outlook
- 01 / 04 / 2005 : Microsoft poursuit 117 auteurs présumés de phishing
- 30 / 03 / 2005 : AOL se dote d'un nouvel outil anti-virus avec McAfee
