Qu’est-ce que le DNS rebinding ?
Le DNS rebinding est une technique couramment utilisée par les cyberattaquants. Elle consiste à manipuler la résolution de nom de domaine de façon à ce que le visiteur d’une page web malveillante exécute un script côté client qui attaque d’autres machines sur le réseau.
Le DNS rebinding établit une communication entre le serveur de l’attaquant et une application web sur un réseau interne via un navigateur. Pour comprendre cette technique, il faut d’abord se pencher sur deux concepts : la SOP (Same-Origin Policy) et le TTL (Time to Live).
Explications en vidéo
Comment les attaquants détournent le DNS pour voler vos données
Qu’est-ce que la SOP ?
Les navigateurs web utilisent la SOP (Same-Origin Policy) comme mécanisme de défense pour empêcher un site web d’interagir avec d’autres sites d’origines différentes. L’origine d’un site web est définie par trois critères : 1) le protocole (par ex. http://) ; 2) le domaine (par ex. paloaltonetworks.fr) et 3) le port (par ex. :80). Ces trois éléments doivent être identiques pour que deux URL soient considérées comme ayant la même origine. C’est le cas des URL A et B ci-dessous. En revanche, l’URL C n’a pas la même origine que les deux autres.
A : http://www[.]votrenom[.]fr/index[.]html
B : http://www[.]votrenom[.]fr/news[.]html
C : https:///www[.]votrenom[.]fr/index[.]html (protocole différent)
Les sites web qui appliquent la SOP restreignent les interactions inter-domaines. Du code (par ex. JavaScript) venant du site http://www[.]attaquant[.]fr/accueil.html ne peut pas envoyer une requête HTTP à http://www[.]votrenom[.]fr/news[.]html. Il sera bloqué.
Qu’est-ce que le TTL ?
Dans un système DNS le TTL (Time to Live) définit la durée en secondes pendant laquelle un enregistrement DNS peut être mis en cache avant que le serveur web ne doive renvoyer une nouvelle requête au serveur DNS. Par exemple, un TTL de 300 secondes signifie que l’enregistrement est conservé pendant cinq minutes. Après cette période, il expire et ne peut plus être utilisé. Le TTL est généralement défini par le serveur de nom faisant autorité.
Comment le DNS rebinding contourne la SOP
L’objectif du DNS rebinding est de contourner les restrictions de la SOP. L’attaquant enregistre le domaine http://www[.]attaquant[.]fr et le délègue à un serveur DNS qu’il contrôle. L’entreprise Votrenom SA héberge son intranet derrière un pare-feu. Les salariés de Votrenom SA peuvent accéder à une application sur le serveur web de l’entreprise, à l’adresse IP 60.6.6.60. Imaginons qu’un collaborateur de Votrenom SA surfe sur Internet depuis un ordinateur portable ou une tablette sur le réseau de l’entreprise. Il clique sur www[.]attaquant[.]fr.
Le serveur DNS contrôlé par l’acteur malveillant répond à la requête du collaborateur en envoyant la bonne adresse IP, mais avec un TTL très court pour éviter la mise en cache de l’enregistrement. Souvenez-vous, c’est le serveur DNS qui définit le TTL. Le navigateur du salarié télécharge la page contenant du code malveillant qui relie l’adresse IP locale au serveur DNS de l’attaquant. Le domaine www[.]attaquant[.]fr pointe désormais vers l’adresse IP 60.6.6.60 et comme cette adresse IP a la même origine que le domaine de Votrenom SA, le code de l’attaquant peut désormais exfiltrer les informations et données sensibles de l’entreprise.
Sécuriser la couche DNS reste la meilleure défense contre les attaques de DNS rebinding. Pour en savoir plus, rendez-vous surhttps://www.paloaltonetworks.fr/network-security/advanced-dns-security.
