{"id":22243,"date":"2024-02-21T10:03:44","date_gmt":"2024-02-21T13:03:44","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22243"},"modified":"2024-02-21T16:05:09","modified_gmt":"2024-02-21T19:05:09","slug":"keytrap-dnssec-vulnerability-dos-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/keytrap-dnssec-vulnerability-dos-attack\/22243\/","title":{"rendered":"KeyTrap: como desativar um servidor DNS com um \u00fanico pacote"},"content":{"rendered":"

Um grupo de pesquisadores representando v\u00e1rias universidades e institutos alem\u00e3es descobriu<\/a> uma vulnerabilidade no DNSSEC, um conjunto de extens\u00f5es para o protocolo DNS projetado para otimizar a seguran\u00e7a, e principalmente para combater a falsifica\u00e7\u00e3o de DNS.<\/p>\n

Um ataque que eles denominaram KeyTrap, que explora a vulnerabilidade, pode desativar um servidor DNS enviando a ele um \u00fanico pacote de dados malicioso. Continue lendo o artigo para saber mais sobre esse ataque.<\/p>\n

Como o KeyTrap funciona e por que \u00e9 perigoso<\/h2>\n

A vulnerabilidade do DNSSEC s\u00f3 se tornou conhecida recentemente, mas foi descoberta em dezembro de 2023 e registrada como CVE-2023-50387<\/a>. Foi atribu\u00edda uma pontua\u00e7\u00e3o CVSS 3.1 de 7,5 e uma classifica\u00e7\u00e3o de gravidade \u201cAlta\u201d. Informa\u00e7\u00f5es completas sobre a vulnerabilidade e o ataque associado a ela ainda n\u00e3o foram publicadas.<\/p>\n

Entenda como o KeyTrap funciona. O ator malicioso configura um servidor DNS que responde a solicita\u00e7\u00f5es de servidores DNS de armazenamento de cache<\/a>, ou seja, aqueles que atendem diretamente \u00e0s solicita\u00e7\u00f5es dos clientes, com um pacote malicioso. Em seguida, o golpista faz com que um servidor de cache solicite um registro DNS de seu servidor hackeado. O registro enviado como resposta \u00e9 um assinado e criptografado maliciosamente . A forma como a assinatura \u00e9 elaborada faz com que o servidor DNS atacado que tente verific\u00e1-la funcione com capacidade total da CPU por um longo per\u00edodo de tempo.<\/p>\n

Segundo os pesquisadores, um \u00fanico pacote malicioso desse tipo pode congelar o servidor DNS por um per\u00edodo que varia de 170 segundos a 16 horas, dependendo do software que ele executa. O ataque KeyTrap n\u00e3o apenas pode negar o acesso ao conte\u00fado da web a todos os clientes que usam o servidor DNS direcionado, mas tamb\u00e9m pode interromper v\u00e1rios servi\u00e7os de infraestrutura, como prote\u00e7\u00e3o contra spam, gerenciamento de certificados digitais (PKI) e roteamento seguro entre dom\u00ednios (RPKI).<\/p>\n

Os pesquisadores se referem ao KeyTrap como \u201co pior ataque ao DNS j\u00e1 descoberto\u201d. Curiosamente, as falhas na l\u00f3gica de valida\u00e7\u00e3o das assinaturas que tornam o KeyTrap poss\u00edvel foram descobertas em uma das primeiras vers\u00f5es<\/a> da especifica\u00e7\u00e3o do DNSSEC, publicada em 1999. Em outras palavras, a vulnerabilidade est\u00e1 prestes a completar 25 anos.<\/p>\n

\"CVE-2023-50387<\/a>

As origens do KeyTrap podem ser rastreadas at\u00e9 o RFC-2035, a especifica\u00e7\u00e3o do DNSSEC publicada em 1999.<\/p><\/div>\n

Como se proteger do KeyTrap<\/h2>\n

Os pesquisadores alertaram todos os desenvolvedores de software de servidores DNS e os principais provedores p\u00fablicos de DNS. Patchs e avisos de seguran\u00e7a para corrigir a CVE-2023-50387 j\u00e1 est\u00e3o dispon\u00edveis para PowerDNS<\/a>, NLnet Labs Unbound<\/a> e Internet Systems Consortium BIND9<\/a>. Se voc\u00ea \u00e9 um administrador de um servidor DNS, est\u00e1 na hora de instalar as atualiza\u00e7\u00f5es<\/p>\n

No entanto, tenha em mente que as quest\u00f5es de l\u00f3gica do DNSSEC que tornaram o KeyTrap poss\u00edvel s\u00e3o fundamentais e n\u00e3o s\u00e3o facilmente corrigidas. As patches lan\u00e7adas pelos desenvolvedores de software de DNS podem ir apenas at\u00e9 certo ponto para resolver o problema, pois a vulnerabilidade faz parte do padr\u00e3o, em vez de implementa\u00e7\u00f5es espec\u00edficas. \u201cSe lan\u00e7armos [KeyTrap] contra um resolvedor com patch, ainda obtemos 100 por cento de uso da CPU, mas \u00e9 poss\u00edvel que responda\u201d, diz um dos pesquisadores.<\/p>\n

A explora\u00e7\u00e3o pr\u00e1tica da falha permanece uma possibilidade, com o resultado potencial mesmo que as falhas imprevis\u00edveis. Caso isso aconte\u00e7a, os administradores de redes corporativas fariam bem em preparar uma lista de servidores DNS de backup com anteced\u00eancia, podendo alternar conforme necess\u00e1rio para manter a rede funcionando normalmente e permitindo que os usu\u00e1rios sigam executando suas atividades online sem interrup\u00e7\u00e3o.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Relatamos sobre o ataque DoS KeyTrap, que pode desabilitar servidores DNS com um \u00fanico pacote malicioso que explora uma vulnerabilidade no DNSSEC.<\/p>\n","protected":false},"author":2726,"featured_media":22244,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655,1656],"tags":[218,108,790,822,1807,935,776,40,267],"class_list":{"0":"post-22243","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-ameacas","12":"tag-criptografia","13":"tag-ddos","14":"tag-dns","15":"tag-dos","16":"tag-negocios","17":"tag-riscos","18":"tag-seguranca","19":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/keytrap-dnssec-vulnerability-dos-attack\/22243\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27084\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/22394\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/29751\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27260\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27038\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/keytrap-dnssec-vulnerability-dos-attack\/29657\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/keytrap-dnssec-vulnerability-dos-attack\/28536\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/keytrap-dnssec-vulnerability-dos-attack\/36997\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/50594\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/keytrap-dnssec-vulnerability-dos-attack\/21535\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/keytrap-dnssec-vulnerability-dos-attack\/30902\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/keytrap-dnssec-vulnerability-dos-attack\/35818\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/keytrap-dnssec-vulnerability-dos-attack\/27459\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/keytrap-dnssec-vulnerability-dos-attack\/33266\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/keytrap-dnssec-vulnerability-dos-attack\/32890\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22243","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=22243"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22243\/revisions"}],"predecessor-version":[{"id":22247,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22243\/revisions\/22247"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/22244"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=22243"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=22243"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=22243"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}