Evilgrade, nuevo exploit que utiliza la grave vulnerabilidad DNS
Pablo Q.
Hola:
Pues hace sólo unos días que se publicó la famosa vulnerabilidad DNS y ya
existe un exploit que la utiliza. Y eso que no se publicaron los detalles
técnicos. Recordemos: es una vulnerabilidad multiplataforma derivada del
diseño del protocolo DNS y no de ninguna implementación particular en algún
sistema operativo concreto.
Qué puede hacer Evilgrade (algo así como "actualización diabólica")? Permite
llevar a cabo un ataque de tipo "DNS poisoning" (envenenamiento DNS) que, en
comjunción con sistemas de actualización de software débiles, permite
inyectar código malicioso en el host atacado, y eventualmente obtener una
consola administrativa remota.
Qué extensión tiene la amenaza? Por ejemplo, se calcula que hoy por hoy el
70 por ciento de los dominios DNS de Australia están aún sin parchear, y no
es la excepción. Se está demostrando que la vulnarabilidad (muy grave) se
está aprovechando mucho más rápidamente que el parcheo de los servidores.
Pero no hay que ir lejos: me consta que hace tan sólo unos días los DNS de
Telefónica estaban aún sin parchear (mi fuente es muy fiable).
Contramedidas? En mi opinión parecen inmediatas y fáciles:
1.- que los administradores de red parcheen sus DNS.
2.- configurar la seguridad perimetral y de host (defensa "en profundidad").
3.- sistemas de actualización de software con autentificación.
4.- política de privilegios mínimos para las aplicaciones.
5.- nunca instalar directamente actualizaciones de software en un equipo de
producción, sin testearlos antes en un entorno de pruebas (físico o
virtualizado).
Para saber más:
noticia en Kriptópolis:
http://www.kriptopolis.org/evilgrade
videodemostración del creador de Evilgrade:
http://www.infobyte.com.ar/demo/evilgrade.htm
Saludos,
Pablo Q.