Due ricercatori di sicurezza hanno svelato i dettagli di una vulnerabilità scoperta in tre piattaforme DNS-as-a-Service che può essere sfruttata per intercettare il traffico in ingresso alle reti aziendali e accedere a diverse informazioni sensibili. Due provider (Amazon e Google) hanno già rilasciato una patch risolutiva, mentre il terzo (ignoto) lo farà nei prossimi giorni.
DNS-as-a-Service: un bug pericoloso
I provider DNS-as-a-Service offrono alle aziende la possibilità di “affittare” i server DNS, evitando i costi di gestione di un’infrastruttura interna. Le aziende devono quindi integrare i loro nomi di dominio con il name server del provider (ad esempio ns-1611.awsdns-09.co.uk
nel caso di AWS). I computer interrogano il server DNS esterno per ottenere l’indirizzo IP dei siti.
I ricercatori hanno scoperto che alcuni provider non hanno nascosto i loro server DNS all’interno dei backend. Ciò permette di intercettare il traffico DNS proveniente dal name server del provider. Non è possibile lo sniffing del traffico in tempo reale, ma gli aggiornamenti dinamici DNS permettono di conoscere le aziende che usano il servizio e di creare una mappa delle loro reti interne.
Amazon e Google hanno risolto la vulnerabilità, bloccando la registrazione del nomi di dominio all’interno dei backend, quindi gli update dinamici non sono più intercettabili. Secondo i ricercatori, il problema di base è che questo tipo di traffico viene consentito dalle impostazioni predefinite dei server Windows. Microsoft ha consigliato di seguire le sue linee guida.
I due ricercatori hanno registrato il traffico DNS di oltre 15.000 organizzazioni, 130 delle quali erano agenzie governative. Durante i test hanno individuato indirizzi IP interni ed esterni, i nomi dei computer e anche i nomi dei dipendenti. Queste informazioni potrebbero essere sfruttate per eseguire attacchi informatici molto precisi.