【TechTarget中国原创】拉斯维加斯——Dan Kaminsky在面对大约1000人的安全专家Black Hat简报中陈述了十几种DNS缓冲投毒漏洞可以被用于引起内部和外部服务器的大面积损害的方法。Kaminsky周三的陈述标志着研究人员第一次透露漏洞的全部细节,这个漏洞是在7月8日多家DNS厂商发布同级补丁是公布的。IOActive 的渗透测试经理Kaminsky说这个漏洞可以使攻击者从标准的服务器或浏览器攻击转移到从Web中取出数据——利用DNS请求——的应用程序中,而不是用浏览器。电子邮件、VoIP和解析应用程序都可能受到投毒攻击。认证服务器、后端数据库,甚至是基于服务的架构都很危险,因为他们都是DNS控制的,即使他们存在于防火墙之后。
Kaminsky 说:“这么多人都需要考虑那么多的事儿的原因是有大量的导致毁灭的途径。” Kaminsky说IT管理员需要尽快配置补丁。使用请求,在得到合法的回应后,一次攻击可以在数秒内颠覆DNS服务器。这种技术还包括把命名服务器导向到攻击者设定的IP地址,并且使用范围检测欺骗服务器请求命令是正确的。好消息是Fortune500个电子邮件服务器的70%以及其他服务器的61%已经打补丁了。他说,仍然有很多工作要做。Kaminsky说,这个漏洞暴露了多年以后一直忽视的安全最佳实践的等级。他说,即使完全配置了补丁,也还有会被攻击者找到的其他解密IP流量的方法。“DNS不会引起这么严重的破坏,为什么这么一个简单的缺陷会引起这么多的破坏呢?”
其他的攻击情景导致了网站的查证和应用更新漏洞。Kaminsky强调了依赖于DNS的SSL认证威胁。他说认证系统的管理不完善,而且终端用户不能信任网站。他说,除了微软的更新,很多厂商的更新都是依赖于DNS的认证。微软、思科、Internet Systems Consortium Berkeley Internet Name Domain、ISC BIND和其他厂商在三月秘密会晤,讨论如何修复这个问题。最后,这些厂商统一发布严格设计的补丁,实施端口随机化来纠正这个问题。Kaminsky说,使用27-30 bits随机处理ID领域而不是16 bits,大大减少了攻击者成功攻击的可能性。他说,这次会议证明厂商即使是竞争关系也可以合作并得到很好的结果。Kaminsky 说:“三月份会晤的时候,我们有一个选择。我们可以实施端点固定,或者我们可以放弃有压服力的东西,并最终把机会从6.5万分之一提高到数百万分之一。”