ISR-Evilgrade 1.0: toolkit che sfrutta il recente bug dei DNS

Massimo Rabbi | 29 luglio 2008 | 20:05

Un security researcher argentino ha pubblicato un toolkit in grado di colpire i meccanismi di aggiornamento di Java, Mac OS X, Openoffice e altri software, il tutto sfruttando tecniche di man-in-the-middle come quelle recentemente scoperte e rese pubbliche circa il bug del sistema DNS.

Il toolkit ISR-Evilgrade 1.0, rilasciato da Francisco Amato, un ricercatore di Infobyte Security Research, nella sua versione iniziale include moduli in grado di colpire Java, Winzip, WinAmp, Mac OS X, Openoffice.org, iTunes, LinkedIn Toolbar, il download accelerator DAP, Notepad++ e Speedbit.
Amato scrive nel Readme file che ogni modulo del toolkit implementa dei meccanismi per l’emulazione di “falsi update” per la specifica applicazione o sistema operativo.

Disponibile un video dimostrativo in cui il toolkit sfrutta l’exploit DNS, recentemente rilasciato da H.D. Moore di Metasploit Project, per colpire il meccanismo di aggiornamento di Java e eseguire un attacco ad un sistema Windows perfettamente aggiornato.
Amato fa notare come il framework sia multi-piattaforma: la chiave sta nel disporre del payload giusto per la piattaforma bersaglio. I vari tipi di vettori di attacco includono ARP spoofing, DNS cache poisoning, DHCP spoofing e accesso DNS interno.
Rilasciate anche una serie di slides esplicative del sistema.

La scorsa settimana sono stati rilasciati svariati exploit che sfruttavano i recenti problemi di sicurezza del DNS messi in evidenza in primis da Dan Kaminsky.
Uno degli exploit è in grado, non solo manipolare i record risorsa di un particolare indirizzo, ma anche sostituire l’entry completa relativa ad uno specifico dominio.
Questo da’ l’opportunità ad un attaccante non solo di redirezionare un particolare indirizzo, come per esempio www.sito.it, al proprio server, ma anche tutti quanti gli altri sistemi che risiedono nel dominio sito.it.
Gli exploits sono stati testati con successo contro le versioni di BIND 9.4.1 e 9.4.2.
Dietro agli exploits c’è l’autore del framework Metasploit H.D. Moore, il quale ha dichiarato che perchè il poisoning della cache DNS avvenga con successo sono necessari 1 o 2 minuti.
Kaminski, che è stato il primo a scoprire la falla, è convinto che il tutto possa essere fatto in una manciata di secondi.

RIFERIMENTO:
- Security researcher publishes exploit toolkit, by Heise Security

Categorie
Sicurezza, Software
Commenti RSS
Commenti RSS
Trackback
Trackback

« »

2 Responses to “ISR-Evilgrade 1.0: toolkit che sfrutta il recente bug dei DNS”

  1. towerlight2002 scrive:
    29 luglio 2008 alle 23:37

    Stando alle dichiarazioni fatte sul blog di OpenDNS i loro server sono sicuri:
    http://blog.opendns.com/2008/07/08/OpenDNS-keeping-you-safe/

  2. Massimo Rabbi scrive:
    30 luglio 2008 alle 19:30

    Ti ringrazio per la segnalazione ;-)
    Utilizzo già da tempo OpenDNS.. il problema resta cmq il fatto che altri potenziali DNS Server con cui comunica potrebbero essere vulnerabili.

Leave a Reply