Nuevo troyano secuestra DNS en masa
Un solo equipo contamina una LAN completa
Investigadores han identificado un nuevo troyano que puede interferir con una amplia gama de dispositivos en una red local, con un exploit que les envía para falsear sitios web aún si se tratan de máquinas aseguradas, completamente emparchadas o que corran sistemas operativos no Windows.
El malware es una nueva variante del DNSChanger, un troyano ampliamente conocido por cambiar los ajustes de sistema DNS de equipos tipo PC y Mac. Según los investigadores de los Avert Labs de McAfee, la versión actualizada del troyano permite que una sola máquina infectada contamine los ajustes de DNS de, potencialmente, cientos de otros dispositivos corriendo en la misma red de área local saboteando el protocolo DHCP, que asigna direcciones IP dinámicamente.
“Sistemas que no están infectados con el malware pueden incluso tener la carga de comunicarse con servidores DNS falsos que se les envió,” escribe Craig Schmugar de McAfee sobre esta nueva variante. “Consigue esto sin explotar ninguna vulnerabilidad de seguridad.”
El escenario funciona aproximadamente así:
• Jill conecta una PC infectada con la nueva variante de DNSChanger a un acceso WiFi en un ciber-café o a las red de su trabajo..
• Steve se conecta a la misma red usando un equipo Linux completamente emparchado, el cual solicita una dirección IP.
• La PC de Jill injecta un comando de ofrecimiento DHCP para indicarle a la computadora de Steve que rutee todas las consultas DNS a través de un servidor DNS con una trampa.
• El equipo Linux de Steve ya no es más confiable en que visite sitios web autoritativos. Aunque la barra de direcciones en su navegador puede mostrar que está accediendo a bankofamerica.com, el estará de hecho en un sitio web impostor.
La única manera en que un usuario podría saber que está frente a este ataque es verificando manualmente que servidor DNS está usando su computadora. (por ejemplo escribiendo el comando “ipconfig /all” en la línea de comandos en Windows). Hay varias contramedidas que podría usar un usuario, dice Schmugar, la más sencilla es estableciendo un valor fijo para el servidor DNS en las configuraciones de red de su máquina.
(En Windows, se puede hacer esto yendo a Inicio, Panel de Control, Conexiones de Red, propiedades de Conexión de Área Local, Propiedades, ir hasta protocolo TCP/IP, propiedades y escribir el servidor primario y secundario para su servicio DNS. Nosotros tenemos debilidad por OpenDNS, cuyos valores son 208.67.222.222 y 208.67.220.220)
En una entrevista, Schugar dijo que el ataque DHCP no explota una vulnerabilidad ni en la maquina cliente ni en el hardware de la red, permitiendo que funcione en una amplia gama de routers hogareños y de empresa. Involucra el driver ndisprot.sys que se instala en la computadora infectada. Una vez allí, monitorea el tráfico de pedidos DHCP y responde con ofrecimientos falsos que contienen la dirección IP de un servidor DNS pirata.
Ya se ha visto al DNSChanger explotando debilidades de los routers cambiando la configuración DNS, pero la habilidad de envenenar las conexiones DHCP de otras máquinas parece ser nueva, dijo Eric Sites, vicepresidente de Sunbelt Software. Por el momento, la nueva variante no parece estar circulando masivamente, pero la perspectiva de una troyano que puede envenenar las conexiones DHCP de otras maquinas sugiere que vale la pena vigilarlo. ®
Traducido para el blog de Segu-info por Raúl Batista.
Autor: Dan Goodin
Fuente: http://www.theregister.co.uk/2008/12/05/new_dnschanger_hijacks/
www.avertlabs.com
isc.sans.org
www.symantec.com
Investigadores han identificado un nuevo troyano que puede interferir con una amplia gama de dispositivos en una red local, con un exploit que les envía para falsear sitios web aún si se tratan de máquinas aseguradas, completamente emparchadas o que corran sistemas operativos no Windows.
El malware es una nueva variante del DNSChanger, un troyano ampliamente conocido por cambiar los ajustes de sistema DNS de equipos tipo PC y Mac. Según los investigadores de los Avert Labs de McAfee, la versión actualizada del troyano permite que una sola máquina infectada contamine los ajustes de DNS de, potencialmente, cientos de otros dispositivos corriendo en la misma red de área local saboteando el protocolo DHCP, que asigna direcciones IP dinámicamente.
“Sistemas que no están infectados con el malware pueden incluso tener la carga de comunicarse con servidores DNS falsos que se les envió,” escribe Craig Schmugar de McAfee sobre esta nueva variante. “Consigue esto sin explotar ninguna vulnerabilidad de seguridad.”
El escenario funciona aproximadamente así:
• Jill conecta una PC infectada con la nueva variante de DNSChanger a un acceso WiFi en un ciber-café o a las red de su trabajo..
• Steve se conecta a la misma red usando un equipo Linux completamente emparchado, el cual solicita una dirección IP.
• La PC de Jill injecta un comando de ofrecimiento DHCP para indicarle a la computadora de Steve que rutee todas las consultas DNS a través de un servidor DNS con una trampa.
• El equipo Linux de Steve ya no es más confiable en que visite sitios web autoritativos. Aunque la barra de direcciones en su navegador puede mostrar que está accediendo a bankofamerica.com, el estará de hecho en un sitio web impostor.
La única manera en que un usuario podría saber que está frente a este ataque es verificando manualmente que servidor DNS está usando su computadora. (por ejemplo escribiendo el comando “ipconfig /all” en la línea de comandos en Windows). Hay varias contramedidas que podría usar un usuario, dice Schmugar, la más sencilla es estableciendo un valor fijo para el servidor DNS en las configuraciones de red de su máquina.
(En Windows, se puede hacer esto yendo a Inicio, Panel de Control, Conexiones de Red, propiedades de Conexión de Área Local, Propiedades, ir hasta protocolo TCP/IP, propiedades y escribir el servidor primario y secundario para su servicio DNS. Nosotros tenemos debilidad por OpenDNS, cuyos valores son 208.67.222.222 y 208.67.220.220)
En una entrevista, Schugar dijo que el ataque DHCP no explota una vulnerabilidad ni en la maquina cliente ni en el hardware de la red, permitiendo que funcione en una amplia gama de routers hogareños y de empresa. Involucra el driver ndisprot.sys que se instala en la computadora infectada. Una vez allí, monitorea el tráfico de pedidos DHCP y responde con ofrecimientos falsos que contienen la dirección IP de un servidor DNS pirata.
Ya se ha visto al DNSChanger explotando debilidades de los routers cambiando la configuración DNS, pero la habilidad de envenenar las conexiones DHCP de otras máquinas parece ser nueva, dijo Eric Sites, vicepresidente de Sunbelt Software. Por el momento, la nueva variante no parece estar circulando masivamente, pero la perspectiva de una troyano que puede envenenar las conexiones DHCP de otras maquinas sugiere que vale la pena vigilarlo. ®
Traducido para el blog de Segu-info por Raúl Batista.
Autor: Dan Goodin
Fuente: http://www.theregister.co.uk/2008/12/05/new_dnschanger_hijacks/
www.avertlabs.com
isc.sans.org
www.symantec.com
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!