ثغرة جديدة في الDNS تكشف بيانات مليون جهاز

علي ماهر

اخر تحديث :

في مؤتمر Black Hat 2021 باحثين من شركة WIZ شرحوا ازاي قدروا يستغلوا ثغرة في الDNS و التجسس علي مليون جهاز تقريبا. ركز معايا بقي. بُص يا سيدي الثغرة دي تستخدم مع الشركات اللي بتقدم خدمات DNSaaS زي Amazon route 53 و Google cloud.

قد يهمك:

قبل الدخول في التفاصيل لازم تكون عارف الفرق ما بين Domain Registrar و Domain Hosting Provider.
لما تيجي تشتري domain بتروح للDomain Registrar. طيب كده انت حجزت الDomain بس محدش هيعرف يوصله, انت هنا محتاج سيرفر يبقي مسئول عن الإجابة عن أي طلب للDomain بتاعك وهنا يجي دور الDomain hosting Provider.
هنا انت بتروح لAmazon route 53 وتشتري الخدمة دي وبكده سيرفرات Amazon هتبقي هي مايسمي الAuthrotative DNS server او بمعني اصح هو الوحيد اللي بيبقي عارف الIP بتاع الDomain بتاعك ويرد علي أي query يجيله.

خد ده فيديو لذيذ بيشرح الDNS بيشتغل ازاي.

فين الثغرة او الLoophole؟

الثغرة دي دمها متفرق ما بين القبائل او زي م اقال احد الباحثين عاملة زي مشكلة في مياه دولية ملهاش صاحب يُلام عليها. ما تيجي ناخدهم قبيلة قبيلة ونشوف.
اول مشكلة في الDomain hosting provider هنا الباحثين جربوا ستة شركات بتقدم الخدمات دي بس هما عملوا الPOC علي Amazon route 53.
الباحثين استغلوا حتة ان الDomain hosting provider مش بيتأكد الDomain ده بتاعك ولا لأ لما تيجي تسجله عندهم وده مشروح بالتفصيل في المصادر.

عملوا ايه بقي الاشقية؟؟

راحوا جوا سيرفر من السيرفرات وسجلوا Domain بنفس اسم السيرفر. بكده قدروا يوجهوا اي ترافيك جاي للسيرفر ده للIP بتاعهم و هوبا بقي يا معلم لقوا حجم ترافيك جبار جاي ليهم من أجهزة عليها ويندوز.
قدروا يشوفوا ترافيك من 15 الف منظمة منهم شركات من الFortune 500 45 وكالة حكومية أمريكية و 85 وكالة حكومية من دول تانية.
كم المعلومات اللي طلعوا بيه رهيب كفيل بتنفيذ هجمات كبيرة وتجسس دولي وليلة كبيرة. المعلومات عبارة عن:

-internal and external IP addresses
- computer names.
- اسامي موظفين
- أماكن المكاتب

تاني جزء بقي هما ليه شافوا حجم الترافيك ده وليه من أجهزة ويندوز؟

عندك Protocol قديم اسمه Dynamic DNS وده بمنتهي البساطة كان بيستخدم زمان في تحديث اسامي الأجهزة اللي واصلة علي شبكات محلية وعايزة تتكلم مع بعض.
اصحي للكلام التقيل جاي.
لما جهاز يتغير الIP بتاعه هيستخدم الDynamic DNS في تحديث الRecord بتاعه وهيبعت للMaster DNS server علشان الناس تعرف الIP الجديد.

هنا الجهاز بيبعت SOA query للmaster DNS server علشان يحدث بياناته.
بسبب الalgorithm اللي بتستخدمه Microsoft الجهاز هيفضل يدور علي الMaster DNS server لحد مايبعت للExternal DNS resolver اللي هو ميييييييين؟

ايوا صحصح معايا السيرفر بتاع Amazon route 53 اللي الباحثين بيشوفوا أي ترافيك رايحله.
عايز اقولك هما قدروا يشوفوا ترافيك من 44 الف جهاز لشركة عالمة وقدروا يحددوا المكاتب بتعاتهم فين. في مكتبين في مصر.
يعني بيبقي عندهم مايسمي ب Bird´s eye view لأي مؤسسة ما هو معاهم العنوانين سواء IPs داخلية او خارجية, أماكن المكاتب, اسامي الأجهزة وطن من المعلومات.

دول قدروا يعرفوا ان في مكاتب لشركات في دول عليها عقوبات وانتهاك للOFAC زي مكاتب في ايران.
زي ماقولت الثغرة دي دمها متفرق ما بين القبائل. لازم تتحل عندهم كلهم.

اول حاجة عند الDomain hosting provider. امازون بقت بتركز مع الDomains اللي بتتسجل وبقت بتمنع أي Domain يتسجل بإسم سيرفر من سيرفراتها. جوجل كمان حلت الموضوع بس لسه في شركات بتقدم خدمة الDNS as a service محلتهاش.

تاني حد هو مايكروسوفت اللي خلعت وقالت ان ده misconfiguration من الsysadmins خصوصا مع الExternal DNS servers.

اخر حاجة اي شركة بتستخدم الخدمات دي لازم تضبط الDynamic DNS وتضبط الSOA Record, عندك لينك اهه من مايكروسفت ازاي تضبط الDDNS:
https://docs.microsoft.com/.../configure-dns-dynamic...
مصادر بقي كتيير:
ده لينك الPPT اللي استخُدمت في الTalk
https://i.blackhat.com/.../us-21-A-New-Class-Of-DNS...
ده البلوج بتاع Wiz:
https://www.wiz.io/.../black-hat-2021-dns-loophole-makes...
ده خبر من threatpost فيه فيديو واحد من الباحثين بيشرح الLoophole دي:
https://threatpost.com/black-hat-novel-dns-hack/168636/
وده لينك انستجرام لو حابب
https://www.instagram.com/_elcyber

قد يفيدك:

BY: Mohamed Nabil

تعديل المقال

الأقسام اخبار الهكر والاختراق وتحديثات الحماية

مقالات قد تهمك

تعليقات

إرسال تعليق

مدونة عرباوي التقنية

عن ماذا تبحث؟