News

Nueva vulnerabilidad en DNS puede explotar sus principios más esenciales para distribuir ataques DDoS

Un equipo de investigadores ha descubierto una vulnerabilidad en el Sistema de Nombres de Dominio (DNS) que podría explotarse para lanzar ataques Distribuidos de Negación de Servicio en cantidades masivas y con muy pocos recursos. La vulnerabilidad recibió el nombre de NXNSAttack, y se encuentra el mecanismo de delegación de DNS.

Los investigadores Lior Shafir y Yehuda Afek de la Universidad de Tel Aviv, y Anat Bremler-Barr del Centro Interdisciplinario Herzliya, descubrieron el problema y alertaron sobre sus particularidades y peligros.

Los investigadores explicaron que la vulnerabilidad puede dar paso a que se fuerce a los resolutores DNS a generar más solicitudes de las necesarias. Esto puede ser explotado por un atacante, que puede utilizar esta falla para saturar con estas solicitudes un sitio web de su elección hasta dejarlo inoperante. El ataque puede ampliar más de 1.620 veces la cantidad de paquetes que se intercambian.

Los investigadores aseguran que informaron a las organizaciones correspondientes con anticipación para darles tiempo de desarrollar un parche, pero que uno de los problemas es que la vulnerabilidad no se puede parchar del todo, sólo se pueden ofrecer medidas de contención ante ataques NXNSAttack.

“Por desgracia, NXNSAttack abusa del principio más básico del protocolo DNS, lo que en esencia implica que no existe una solución, sólo formas de mitigarlo”, dijo Petr Špaček, que colaboró a en la investigación de los expertos israelíes desde la República Checa.

Aun así, las compañías afectadas no se están quedando con los brazos cruzados y proveedores de servicios web y en la nube como Google, Microsoft, Amazon Web Services y Cloudfare han parchado sus sistemas para evitar ser víctima de este ataque.

Microsoft ya ha lanzado la alerta ADV200009 para mitigar los ataques DNS que abusen de NXNSAttack.

“Para explotar esta vulnerabilidad, un atacante necesita tener acceso a al menos un cliente y dominio que responda con una gran cantidad de registros de referencia, sin DNS asociados, que dirijan a subdominios externos de la víctima. Mientras se resuelve el nombre del cliente del atacante, por cada registro de referencia que se encuentra, se resuelve contactar el dominio de la víctima. Esto puede generar una gran cantidad de comunicaciones entre la resolución y el servidor DNS, lo que causa un ataque Distribuido de Negación de Servicio (DDoS)”, explicó Microsoft.

Es por esto que, para mitigar el ataque, Microsoft ha puesto a disposición la herramienta Set-DnsServerResponseRateLimiting, que limita la cantidad de respuestas que se envían al servidor. Esto evitará que un servidor DNS de Windows se utilice para amplificar un ataque contra otro cliente, pero no evita que el servidor mismo sea atacado.

Fuentes

NXNSAttack technique can be abused for large-scale DDoS attacks • ZDNet
Microsoft issues mitigation for the NXNSAttack DNS DDoS attack • Bleeping Computer
Researchers warn of unfixable DNS denial of service NXNSAttack • IT News

Nueva vulnerabilidad en DNS puede explotar sus principios más esenciales para distribuir ataques DDoS

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada