- DNS rebinding
-
DNS rebinding
DNS rebinding es un ataque basado en DNS de código embebido en páginas web aprovechándose de la política del mismo origen de los navegadores.
Contenido
USO
Normalmente las peticiones del código embebido en las páginas web (Javascript, Java, Flash..) están limitadas al sitio web desde el que se han originado (política del mismo origen). DNS rebinding puede mejorar la habilidad de malware basado en javascript para penetrar en redes privadas transtornando la política del mismo origen. Usando DNS rebinding un atacante puede sortear firewalls, navegar en intranets corporativas, mostrar documentos sensibles, y comprometer máquinas internas sin parchear.
Cómo funciona el DNS rebinding
El atacante registra un dominio el cual delega a un servidor DNS que él controla. El servidor está configurado para responder con un parámetro TTL muy corto, que previene que la respuesta sea cacheada.
La primera respuesta contiene la dirección IP de el servidor con el código malicioso. Las consiguientes respuestas contienen direcciones IP de redes privadas falsas (RFC 1918) presumiblemente detrás de un firewall que es la meta del atacante.
Dado que las dos son respuestas DNS completamente válidas, autorizan al script el acceso a hosts dentro de la red privada. Devolviendo múltiples direcciones IP, el servidor DNS habilita al script para escanear la red local o realizar activiades maliciosas.
Protección
Las siguientes técnicas pueden ser utilizadas para prevenir ataques de DNS rebinding:
- DNS pinning - fijando una dirección IP al valor recibido en la primera respuesta DNS. Esta técnica puede bloquear algunos usos legítimos del DNS dinámico.
- Bloqueando la resolución de nombres externos en direcciones internas en los servidores de nombres locales de la organización.
- Los servidores pueden rechazar peticiones HTTP con una cabecera de Host irreconocible.
Enlaces externos
Categorías: Problemas de seguridad informática | Hacking
Wikimedia foundation. 2010.