Bulletins

Des bugs dans les services cloud DNS-as-a-service permettent l’espionnage du trafic DNS

bs1.jpg

Le DNS (Domain Name Service) est reconnu pour sa fonction de traduction des noms de domaine lisibles en adresses IP numériques. Le 4 août 2021, lors de l'événement Black Hat USA, une nouvelle vulnérabilité a été découverte par des chercheurs de la société Wiz, exposant des données DNS dynamiques de millions de terminaux dans le monde.

Des chercheurs de la société Wiz ont déclaré avoir trouvé une simple faille qui permet d'intercepter une partie du trafic DNS dynamique mondial passant par des fournisseurs de DNS gérés comme Amazon et Google. La vulnérabilité a été prouvée et exploitée avec succès sur trois grands fournisseurs de services en cloud, dont AWS Route53, et peut en affecter beaucoup d'autres. L'exploitation réussie des vulnérabilités peut permettre l'exfiltration d'informations sensibles des réseaux d'entreprise des clients utilisant ces services. Les informations divulguées contiennent des adresses IP internes et externes, des noms d'ordinateurs et parfois des tickets NTLM / Kerberos. La cause première du problème est l'implémentation non standard des résolveurs DNS.

Le processus d'exploitation consiste à enregistrer un domaine sur le service DNS Route53 d'Amazon (ou Google Cloud DNS) avec le même nom que le serveur de noms DNS - qui assure la résolution des noms de domaine et des noms d'hôte en leurs adresses IP correspondantes - ce qui donne lieu à un scénario qui rompt effectivement l'isolement entre les locataires, permettant ainsi l'accès à des informations précieuses. Et en créant un nouveau domaine sur la plate-forme Route53 à l'intérieur du serveur de noms AWS avec le même nom et en faisant pointer la zone hébergée vers leur réseau interne, le trafic DNS dynamique des points de terminaison des clients Route53 est détourné et envoyé directement au serveur malveillant portant le même nom, créant ainsi une voie d'accès facile aux réseaux d'entreprise de cartographie.

Tandis qu'Amazon et Google ont corrigé ce problème, l'équipe de recherche Wiz a également publié un outil permettant aux entreprises de vérifier si leurs mises à jour DDNS internes sont transmises à des fournisseurs de services DNS ou à des acteurs malveillants.