Augusto Paes de Barros, CISSP: MS06-041

Terça-feira, Agosto 08, 2006

MS06-041

Essa é uma daquelas vulnerabilidades que pode ser muito problemática (i.e. worm/vírus dos brabos) .

A vulnerabilidade é no client de DNS do Windows (ou resolver, como alguns preferem). pelo visto ela pode ser explorada através de registros específicos de DNS em respostas vindas de um servidor "malicioso". Como são registros que normalmente não são consultados durante o uso do computador por um usuário comum, fiquei curioso sobre como um atacante poderia forçá-los a fazer a "query maldita".

Fui checar os detalhes do funcionamento das respostas DNS e vi que o servidor pode mandar registros adicionais àqueles pedidos pelo client. Minhas dúvidas seriam:

1 - Os registros vulneráveis podem ser enviados como "registros adicionais" em uma resposta a uma query comum para registros "A / CNAME"?
2 - A vulnerabilidade pode ser explorada quando os registros manipulados estão no campo de respostas adicionais?
3 - Em queries recursivas, respostas adicionais feitas por um servidor são repassadas para a origem da query?

Dependendo das respostas às perguntas acima a vulnerabilidade tem um nível de criticidade. No pior caso um simples e-mail HTML é suficiente para explorá-la.

Outro caso que pode ser problemático é dos servidores que logam acessos por nome (web servers ou proxys, por exemplo). O cara acessa o servidor, que tenta resolver o nome do IP dele para colocar no log. A resposta vem com um registro manipulado que explorar a vulnerabilidade e bingo! O servidor é do cara. Uau. Na dúvida pessoal, corrijam imediatamente.

3 Comments:

At 4:00 PM, Fernando Cima said...: Oi Augusto,

Sim, sim e sim para as suas perguntas. É realmente importante aplicar este fix, e mais ainda o MS-6-040.
At 5:28 PM, Augusto said...: Tendo em vista o "sim" para todas as perguntas, acho este até pior do que o MS06-040. O 040 é perigoso para worms do tipo Blaster, mas firewalls seguram a maior parte do tranco, se bem configurados. O 041 p/ mim é pior pois pode ser usado em conjunto com outras técnicas para contaminar alguém que apenas lê um e-mail HTML.
At 6:58 PM, Fernando said...: A MS06-040 é pior porque ela já está sendo usada para ataques na Internet. Na verdade já estava sendo usada "in the wild" antes mesmo do lancamento do patch.