I ricercatori sul DNS poisoning: conoscevamo la falla da dieci anni

La vulnerabilità di sicurezza relativa al server DNS di Windows 2000 Server e Windows Server 2003 risolta Martedì scorso da Microsoft mediante il rilascio di un’apposita patch sarebbe una falla conosciuta ai ricercatori già da più di 10 anni. La falla può essere sfruttata da parte di aggressori per reindirizzare in modo silente le richieste di connessione a siti web assolutamente leggitimi verso pagine contenenti malware o foriere di attacchi “phishing”.
“DNS cache poisoning”. E’ questo il termine con cui gli esperti si riferiscono alle tipologie di attacco che prendono di mira server DNS.
I server DNS (Domain Name System) traducono indirizzi “mnemonici” (per esempio, “www.ilsoftware.it”) in indirizzi IP. L’attacco in questione permette ad un malintenzionato di modificare la cache di un server DNS inserendovi dei dati falsi. In questo modo, tutti gli utenti dei sistemi che si appoggiano al DNS attaccato, digitando nel loro browser gli URL di siti web conosciuti, si vedranno reindirizzati altrove – generalmente su pagine contenenti materiale ostile o comunque pericoloso (malware) -.

Una delle aziende che hanno segnalato in modo indipendente il bug di sicurezza a Microsoft, ha pubblicato uno script attraverso il quale è semplice prevedere i “transaction ID” che verranno successivamente utilizzati da un server DNS Windows a partire da uno valido. Il “transaction ID” è un identificativo che viene inserito nei pacchetti di richiesta ed in quelli di risposta, da e verso un server DNS. I pacchetti che fanno parte della stessa comunicazione hanno medesimo “transaction ID”. Symantec, analizzando lo script in questione, ha commentato: “si tratta di codice molto potente che certamente contribuirà alla crescita di attacchi verso server DNS Windows ancora vulnerabili”.
Amit Klein, CTO di Trusteer, una delle due aziende che hanno riportato alla ribalta la falla nel server DNS di Windows, ha osservato: “ciò che è particolarmente sorprendente è che il meccanismo alla base della generazione dei ‘transaction ID’ non sia ancora basato sull’utilizzo di algoritmi crittografici di provata e riconosciuta efficacia”.

Tutti coloro che utilizzano il server DNS Microsoft su sistemi Windows 2000 Server e Windows Server 2003 sono quindi incoraggiati ad installare tempestivamente la patch MS07-062.