Daboweb | Seguridad y ayuda informática |

Para este fin de semana y tras el revuelo del bug en OpenSSL, os recomendamos la Guía de Seguridad en Servicios DNS, está orientada a BIND9 y por lo que hemos leído, totalmente recomendable tanto si mantenéis un servidor de nombres de dominio, o estáis pensando en hacerlo. La guia, ha sido publicada por INTECO-CERT.

Tal y como podemos leer en el Blog de Seguridad de INTECO:

DNS, acrónimo de Domain Name System, es un componente crucial en el funcionamiento de Internet y sin duda de gran importancia en el correcto flujo de comunicaciones en red. Gracias a DNS, se facilita el manejo de las comunicaciones entre los elementos de internet dotados de dirección IP. DNS mantiene y distribuye globalmente de forma jerárquica una “base de datos” donde se asocian nombres a direcciones IP y a la inversa de forma que sea mucho más sencillo de recordar y manejar por las personas.

Esta misión de DNS, en apariencia básica, conlleva una importante responsabilidad al constituir una base en las comunicaciones IP, por ello es de vital importancia mantener el sistema preparado para prevenir y contrarrestar las amenazas existentes contra este servicio. DNS por su extensión y diseño, está expuesto a numerosas amenazas, cuyos paradigmas fundamentales son, entre otros, denegaciones de servicio DoS por ataques de amplificación DNS , secuestro de dominios para redireccionar tráfico a sitios maliciosos, o envenenamiento de caché DNS de servidores para provocar resoluciones manipuladas de los dominios atacados.

Descarga en PDF (73 páginas).

Para hoy te proponemos una comprobación muy simple que puedes realizar desde tu navegador y ver si estás afectado por el troyano «DNSChanger»,no es nada nuevo, Noviembre de 2011,, pero ayer podíamos leer en el blog de ESET (ENG) que está hablando de unos 4 millones de equipos afectados en más de 100 países.

El tema es serio ya que puedes convertirte en parte de una botnet (o red «troyanizada» de ordenadores «zombies») desde la cual tu equipo puede ser redirigido hacia sitios maliciosos y con ello, información sensible que puedas tener almacenada. (Más detalles sobre este ataque en un post by Stephen Cobb, ENG).

La web para comprobarlo. Si todo está ok veréis ese mensaje en color verde con el texto de que está correcto;

Espero que todo esté correcto en vuestros sistemas, Caso de salir una alerta en rojo, aquí podrás encontrar cómo solventar el bug en Windows, GNU/Linux y Mac OS X (usa un traductor en línea caso de tener problemas con el lenguaje).

Tal y como se lee en el título de la noticia, Microsoft ha puesto a disposición de los usuarios 13 boletines de seguridad que solventan un total de 22 vulnerabilidades en productos como; Internet Explorer, Microsoft .NET Framework, Microsoft Developer Tools, Microsoft Office y Microsoft Windows.

Desde Microsoft, Angela Gunn, obviamente insta a parchear en primer lugar las dos vulnerabilidades catalogadas como críticas y que afectan a Internet Explorer (MS11-057) donde el parche más serio es el que corrige la posibilidad de ejecución remota de código viendo una web especialmente manipulada para tal fin.

La otra afecta a DNS Server (MS11-058), donde el bug más importante que se ha corregido también impide la ejecución remota de código, si un atacante envía una consulta especialmente manipulada «Naming Authority Pointer» (NAPTR) al servidor DNS.

Más información en Microsoft sobre todos los parches y productos afectados.

Si decimos que la industria del Malware, además de molesta, perniciosa y cansina, está siempre «a la última» en cuanto a técnicas de infección-redifusión, no sería nada nuevo ya que de todos es sabido.

Pero no está de más tener en cuenta esta información que podemos leer en Slashdot (ENG) con origen en este enlace (ENG), en la que se hacen eco de un aumento de ataques a través de servidores DNS vulnerables o con configuraciones potencialmente explotables, que son un filón para los crackers que consiguen hacerse con el control de esos servidores DNS, redirigiendo varios subdominios legítimos a una IP diferente y desde donde se llevan a cabo los ataques (de todo tipo) hacia el usuario a través de su navegador.

Sirva también a modo de recordatorio para los que administramos un servidor web, ya que como bien apuntan en la entrada original, a veces, una vez que has configurado las zonas DNS así como los diferentes dominios principales y subdominios, puede que no se revisen con la frecuencia que sería deseable y más si son subdominios creados no para servir páginas, sino para alojar por ejemplo imágenes, ficheros, etc, donde rara vez se consulta vía web sino más bien por FTP-SFTP.

Aunque personalmente opino que si ya se han hecho con el control de tu DNS, estás técnicamente K.O. Si hablamos de un servidor web bajo GNU/Linux, no está de más revisar esas configuraciones DNS y usar herramientas como «nslookup» o hacer consultas DNS con el comando «dig» para ver que está todo correcto y que tanto los dominios principales como subdominios, apuntan a IPs correctas.

Y para acabar, hablando de subdominios, es importante revisar a nivel de Apache que no queden expuestos o la vista de todos los subdominios (listado de directorios), aunque con un simple «index.php» o «.html» en el directorio principal del subdominio, caso de que como dije antes no se sirva tráfico web desde él, el contenido alojado dentro no quedará expuesto.

El popular servidor de nombres de dominio BIND, es sensible a un ataque de denegación de servicio con exploit publicado para realizar dicho ataque a servidores DNS.

El bug afecta a servidores maestros, no esclavos y el fallo se da en malformaciones en los mensajes de actualización que pueden ser manipulados para provocar un ataque DoS con el resultado de la caida del servidor afectado.

Desde el ISC (Internet Software Consortium), creadores de BIND, instan a todos los administradores de sistemas a actualizar lo antes posible BIND.

Tal y como pude comprobar ayer, en servidores Debian ya estaba la actualización vía apt y Debian Security. Desde este enlace podréis acceder a la sección de descarga de las versiones de BIND 9x actualizadas y más info sobre el bug.

Fuente Barrapunto.

¿Os imagináis un software que sólo tiene un bug conocido cada 10 años?, es el caso de Djbdns, hasta ahora y de Qmail que, corregidme si me equivoco, sigue ahora encabezando la lista en solitario.

Dan Bernstein cumplirá su promesa hecha hace años que no era otra que comprometerse a pagar 1.000 $ US a quien descubriera una vulnerabilidad en Djbdns, el servidor de DNS considerado hasta ahora el más seguro y alternativa a el considerado casi como un standard y muy castigado por los bugs, BIND.

La vulnerabilidad no es fácil de explotar, pero de paso que nos hacemos eco de esta curiosa forma de premiar a quien reporta un bug, os aconsejamos a quienes lo utilicéis su conveniente actualización (Bernstein ya ha parcheado el software).

El afortunado ganador de los 1.000 $ es Matthew Dempsky. La película podía titularse; “Vivir de los bugs en tiempos de crisis…”. Bernstein ha cumplido su «Garantía de seguridad» (y de pago), a ver cuanto tiempo aguanta Qmail -;).

Fuente Slashdot | Info del Bug (traducido con Google).

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Conforme se indica en el aviso de seguridad 935964 de Microsoft, existe una vulnerabilidad en el servicio del servidor de DNS en los sistemas Windows 2000 y Windows Server 2003 explotable por atacantes remotos, en este mismo aviso se exponen las actuaciones a realizar.

Leer más…
Continue reading…