Deficiências no protocolo DNS e em suas implementações foram divulgadas essa semana. Essas deficiências permitem que um atacante faça um ataque conhecido como envenenamento de cache (cache poisoning). Após o ataque, o usuário pode ter seu tráfego redirecionado para um endereço IP diferente do real. O usuário pode digitar o endereço de um banco e ser direcionado para um site malicioso a fim de ter suas informações bancárias roubadas.

O número de identificação de 16 bits que é utilizado para correlacionar uma resposta com sua respectiva consulta foi criado para prevenir ataques deste tipo, porém, esse campo tem uma quantidade pequena de combinações. Um atacante pode criar uma falsa resposta com todos os números possíveis e enviar a um servidor recursivo/cache.

Além desse recurso, ainda existem implementações que utilizam um mesmo número de porta de origem em suas consultas, facilitando ainda mais o ataque.

Sistemas afetados

• Cisco Systems, Inc.

• Debian GNU/Linux

• dnsmasq

• Infoblox

• Internet Software Consortium (BIND)

• Juniper Networks, Inc.

• Microsoft Corporation

• Nixu

• Nominum

• Red Hat, Inc.

• Sun Microsystems, Inc.

• Ubuntu

• Wind River Systems, Inc.

A maior parte dos fabricantes já divulgou atualizações que apenas amenizam o problema pois se trata de uma fraqueza no protocolo. Uma solução definitiva é a implementação de DNSSEC, que é uma extensão da tecnologia atual e utiliza a infra-estrutura de chaves públicas para autenticar respostas efetuadas por um servidor recursivo. Para maiores informações consulte o site do registro.br.