KeyTrap est probablement peut-être la pire attaque DNS jamais découverte. Il s’agit d’un déni de service sur les serveurs DNSSEC (aujourd’hui utilisés dans 31 % des résolutions), précisément parce qu’ils traitent des clés chiffrées. Si un ou plusieurs domaines concernés étaient attaqués, des parties entières de l’internet disparaîtraient ou auraient des problèmes de connectivité.

Sources: Wikipedia

Découverte par des universités allemandes et le Centre national allemand de recherche en cybersécurité appliquée, le rapport The KeyTrap Denial-of-Service Algorithmic Complexity Attacks on DNS (attaques de complexité algorithmique par déni de service sur le DNS) qui vient d’être publié, décrit comment un serveur DNSSEC vulnérable se verrait demander comment résoudre un domaine malveillant, qui à son tour renverrait à un serveur malveillant, lequel renverrait une réponse qui l’amènerait à effectuer des calculs si complexes qu’ils épuiseraient les ressources du serveur.

Selon la spécification DNSSEC elle-même, la réponse RRSet spécialement manipulée devrait contenir tout le matériel chiffré nécessaire pour valider avec succès l’intégrité de la résolution.

La création des correctifs a été coordonnée entre les principaux fournisseurs et BIND, le logiciel libre par excellence. Ils sont maintenant disponibles pour tous. Cela atténue le problème de la validation du matériel, mais pas le défaut de conception.

Ce défaut a été introduit en 1999 dans le RFC 2535, aujourd’hui obsolète, et reproduit dans les RFC 6781 et RFC 6840. Il est implémenté dans BIND depuis 2000.

DNSSEC, c’est quoi ?

Les serveurs DNS sont utilisés par les navigateurs web et d’autres logiciels pour transformer des noms de domaine conviviaux, tels que wikipedia.org, en adresses IP conviviales auxquelles se connecter. Les serveurs DNS sont gérés par toutes sortes d’organisations, depuis les services informatiques jusqu’aux fournisseurs d’accès à Internet. Le DNS n’est pas sûr parce qu’il envoie des requêtes et des réponses sur les réseaux en texte clair, ce qui permet à ces données d’être potentiellement modifiées par des fouineurs pour diriger les connexions des personnes vers des systèmes malveillants.

Le protocole DNSSEC (Domain Name System Security Extensions) constitue une amélioration du DNS en ce sens qu’il utilise le chiffrement pour garantir que les résultats des requêtes ne sont pas altérés par des personnes mal intentionnées. Un résolveur DNS validant DNSSEC utilise DNSSEC pour effectuer cette forme plus sûre de résolution DNS.

Exploitation de la vulnérabilité

Voyons les différentes étapes qui formeraient l’exploitation de la vulnérabilité KeyTrap, de l’identification au déni de service:

  1. Identification de serveurs DNSSEC vulnérables : Les attaquants identifient les serveurs DNSSEC vulnérables qui sont susceptibles d’être exploités. Cela peut être réalisé en effectuant des scans de réseau ou en utilisant des outils de reconnaissance pour repérer les serveurs qui utilisent DNSSEC.
  2. Sélection d’un domaine malveillant : Les attaquants sélectionnent un domaine malveillant qu’ils contrôlent. Ce domaine sera utilisé pour déclencher l’attaque et rediriger le trafic vers des serveurs malveillants contrôlés par les attaquants.
  3. Manipulation des réponses DNS : Les attaquants manipulent les réponses DNS en modifiant les enregistrements RRSet (Resource Record Set) pour inclure des clés de chiffrement spécialement conçues. Ces clés manipulées sont ensuite retournées dans la réponse DNS aux requêtes légitimes des utilisateurs.
  4. Déclenchement de l’attaque : Lorsque les utilisateurs légitimes effectuent des requêtes DNS vers les serveurs vulnérables, les réponses manipulées sont renvoyées par les serveurs vulnérables. Cela déclenche l’attaque, car le traitement de ces réponses manipulées exige des calculs complexes qui épuisent les ressources du serveur.
  5. Épuisement des ressources du serveur : Les serveurs DNSSEC vulnérables sont submergés par des requêtes contenant des réponses manipulées, nécessitant des calculs complexes pour valider l’intégrité de la résolution DNS. Cela entraîne une surcharge des ressources du serveur, provoquant des dysfonctionnements majeurs voire une indisponibilité partielle du service DNS.
  6. Impact sur la connectivité Internet : En raison de l’épuisement des ressources des serveurs DNSSEC vulnérables, des parties entières de l’internet peuvent subir des perturbations majeures voire une indisponibilité partielle de l’accès à Internet. Cela peut entraîner des problèmes de connectivité pour les utilisateurs légitimes et causer des perturbations dans les services en ligne.

En résumé, les attaquants exploitent la vulnérabilité KeyTrap en manipulant les réponses DNS pour inclure des clés de chiffrement spécialement conçues. Lorsque ces réponses manipulées sont traitées par des serveurs DNSSEC vulnérables, elles entraînent une surcharge des ressources du serveur, provoquant des dysfonctionnements majeurs voire une indisponibilité partielle des services DNS.

Plus d’information:
https://www.athene-center.de/fileadmin/content/PDF/Technical_Report_KeyTrap.pdf
https://datatracker.ietf.org/doc/rfc2535/
https://www.presseportal.de/pm/173495/5713546
https://stats.labs.apnic.net/dnssec/XA?hc=XA&hx=0&hv=1&hp=0&hr=0&w=30&r=1