NFsec Logo

Atak na przestrzeń nazw

06/01/2019 (2 tygodnie temu) w Ataki Internetowe Brak komentarzy.  (artykuł nr 672, ilość słów: 475)

A

tak na przestrzeń nazw (ang. namespace attack) odnośni się do przejęcia kawałka lub całości przestrzeni nazw ofiary. Jeśli spojrzymy na internet jako całość to wszystkie jego byty są przestrzeniami nazw, które zajmują większe lub mniejsze kawałki w globalnej sieci. Najczęściej ataki te będą dotyczyć domen oraz adresów e-mail, które by być bardziej przyjaznymi używają adresów zrozumiałych dla użytkowników internetu, a dopiero potem zamieniają je na zrozumiałe dla urządzeń tworzących sieć komputerową.

Z przykładami ataku na przestrzeń nazw w odniesieniu do domeny mogliśmy zapoznać się już w „Rekonesansie DNS i wrogim przejęciu” (pkt. 5). Jeden z nich pokazuje, jak firma X rejestruje nową usługę w zewnętrznym serwisie i wskazuje na „obce” serwery subdomenę „marketing” (IN A / IN CNAME). Wraz z upływem czasu biznes rezygnuje z tego zewnętrznego serwisu, ale nie powiadamia o tym nikogo z obsługi IT, a ta nie usuwa subdomeny z systemu DNS. Konto firmy X wygasa w zewnętrznym serwisie. Atakujący w ramach testów penetracyjnych odkrywa podatną subdomenę. Zakłada swoje konto w tym samym serwisie zewnętrznym i aktywuje tą identyczną nazwę, na którą wskazywała subdomena firmy X – czyli „marketing”. Tym samym przejmuje kontrolę nad kawałkiem przestrzeni nazwy firmy X w internecie. Jest w stanie przechwytywać już stworzony ruch sieciowy, przeprowadzać ataki phishing itd.

Z kolei przykład ataku na przestrzeń nazw w kontekście adresów e-mail może wyglądać następująco: aplikacja lub serwis internetowy X każdemu użytkownikowi, który założy u nich konto automatycznie przyznaje darmowy adres i skrzynkę e-mail w takiej samej lub powiązanej nazwą domenie. Np. zakładamy konto w serwisie ochnet.pl i dostajemy adres e-mail: login@poczta.ochnet.pl. Niestety aplikacja / serwis jest na tyle młody, że nikt z obsługi IT nie pamiętał o przeczytaniu „RFC 2142 – Mailbox names for common services, roles and functions” z maja 1997 roku, w którym jest napisane, aby konkretne nazwy kont (np. abuse@, postmaster@ [RFC 822], hostmaster@ [RFC 1035], support@, marketing@) zarezerwować dla obsługi samego serwisu. Atakujący w ramach testów penetracyjnych odkrywa podatny adres e-mail. Zakłada swoje konto w serwisie pod nazwą „hostmaster”. Tym samym przejmuje kontrolę nad kawałkiem przestrzeni nazw adresów e-mail serwisu X. Jest w stanie przechwytywać pocztę e-mail, nie koniecznie kierowaną do niego lecz do obsługi serwisu. Co gorsza ma możliwość zakupu i potwierdzenia autentyczności certyfikatu SSL dla domeny poczta.ochnet.pl, ponieważ wybrał jako metodę weryfikacji właścicielstwa domeny wysyłkę potwierdzenia na adres e-mail: hostmaster@poczta.ochnet.pl (najczęściej serwisy rejestrujące certyfikaty SSL wymagają skrzynek: admin@, administrator@, hostmaster@, postmaster@, webmaster@).

Dlatego – pamiętajmy o cyklicznym sprawdzaniu aktualności stref DNS swoich domen oraz kompatybilności z RFC 2142 swoich serwerów pocztowych.

Więcej informacji: Email Deliverability & RFC 2142: Everything you wanted to know and never dared to ask
, wearehackerone.com is vulnerable to namespace attacks

Kategorie K a t e g o r i e : Ataki Internetowe

Tagi T a g i : , , , , , ,

Brak nowszych postów

Komentowanie tego wpisu jest zablokowane.