Problemi di DNS Cache poisoning per China Netcom
Massimo Rabbi | 24 agosto 2008 | 12:08Il security provider Websense ha individuato un caso riuscito di DNS cache poisoning nei confronti dei name servers di uno dei piu’ grandi ISP cinesi.
Gli utenti Netcom infatti sono stati re-indirizzati verso pagine contenenti exploits per RealPlayer, MS Snapshot Viewer, Adobe Flash Player e Microsoft Data Access Components.
I crackers non hanno modificato i record di siti web importanti, ma hanno semplicemente modificato l’indirizzo della pagina pubblicitaria dell’ISP.
La maggior parte dei clienti arriva a questa pagina quando per esempio sbaglia a digitare l’url di un qualsiasi sito web. Gli ISP usano questo metodo di redirection, conosciuto anche come Typosquatting, per pubblicizzare la disponibilità di domini e di prodotti correlati.
A seguito dell’attacco tuttavia i clienti non raggiungono la pagina del provider, bensi’ una serie di pagine contraffatte e riempite di ogni sorta di trojan e malware.
Molto probabile quindi che i name servers di Netcom non siano stati adeguatamente patchati.
Gli unici attacchi “ufficiali” di cache-poisoning sono stati quelli che hanno visto coinvolta AT&T.
All’ultima conferenza Black Hat, Dan Kaminsky ha riportato lo stato attuale di patching dei sistemi delle compagnie all’interno della Fortune 500: il risultato è che attualmente il 70% di essi hanno applicato le dovute contromisure mediante aggiornamenti mirati.
Riferimenti:
* DNS poisoners hijack typo domains, by Heise Security
* China Netcom DNS cache poisoning, warning from Websense
