Le 17 août 2017

Doctor Web a déjà expliqué que la configuration incorrecte des serveurs DNS conjuguée à d'autres facteurs peut compromettre des sites web. L'étude menée par nos analystes montre que ces problèmes sont d’actualité pour de nombreuses institutions financières russes et pour certaines institutions gouvernementales.

Le système de noms de domaine (DNS, Domain Name System) permet de recevoir des informations sur les domaines et assure l'adressage sur Internet. En utilisant DNS, des logiciels clients, tels que, par exemple, les navigateurs web, déterminent l'adresse IP correspondante à l'URL de la ressource saisie dans la barre d'adresse. Dans la plupart des cas, les propriétaires de domaines eux-mêmes gèrent les serveurs DNS.

De nombreuses ressources Internet utilisent plusieurs domaines supplémentaires de troisième ou même quatrième niveau. Par exemple, le domaine vms.drweb.com utilise les sous-domaines suivants : vms.drweb.fr qui héberge le site permettant de vérifier des liens, des fichiers ou de trouver la description d'un virus, free.drweb.fr - le domaine utilisé pour la page dédiée à l'utilitaire Dr.Web CureIt! et up.dates.drweb.com - une page du système de mises à jour Dr.Web etc. En général, l'utilisation de ces domaines aide au fonctionnement des services techniques : le système d'administration et de gestion du site, les systèmes de banking en ligne, les interfaces web des serveurs de messagerie et des sites internes pour les employés de la société. Les sous-domaines peuvent servir, par exemple, pour les systèmes de contrôle de version, pour le bug-tracker, pour divers services de surveillance, de ressources wiki ou d'autres besoins.

Lors d’attaques sur les sites web, les pirates cherchent, en premier lieu, à collecter des informations sur la ressource ciblée. Ils tentent notamment de déterminer le type et la version du serveur web utilisé pour le site, la version du système de contrôle du contenu, le langage de programmation utilisé pour le moteur et d'autres informations techniques dont une liste de sous-domaines du domaine principal du site attaqué. À l’aide de cette liste, les malfaiteurs peuvent tenter de se faufiler dans l’infrastructure de la ressource Internet par une « petite porte », s'ils arrivent à trouver des données d'authentification et à s'authentifier sur un des services internes non-publics. Beaucoup d’administrateurs système ne prêtent pas suffisamment d’attention à la sécurité de ces ressources. Pourtant, ces sites "internes" peuvent utiliser des logiciels obsolètes ayant des vulnérabilités connues, ou ils peuvent contenir des informations de débogage ou permettre une authentification ouverte. Tout cela peut considérablement simplifier la tâche des criminels.

Si les serveurs DNS traitant le site web sont correctement configurés, les pirates ne peuvent pas obtenir d’informations relatives à la zone DNS. Dans le cas contraire, une requête spécialisé AXFR permet aux criminels d'obtenir des données exhaustives sur les sous-domaines enregistrés dans la zone. Une configuration incorrecte des serveurs DNS, en soi, n’est pas une vulnérabilité, mais peut devenir la cause indirecte d'un incident où la ressource web s'avère compromise.

Les analystes de Doctor Web ont effectué une analyse des configurations des serveurs DNS d'un certain nombre de banques russes et d'institutions gouvernementales. Il s'est avéré que parmi presque 1000 domaines de banques russes vérifiés, 89 banques envoient des informations sur la zone DNS en réponse à une requête AXFR extérieure. Cette information a été transférée au centre de surveillance et de réaction aux attaques cybernétiques dans le domaine financier (FinCERT) de la Banque de Russie. De plus, des paramètres incorrects ont été détectés sur les sites de certaines institutions gouvernementales. Doctor Web rappelle aux administrateurs de sites que la configuration correcte de DNS est un des facteurs pouvant assurer la sécurité des ressources Internet.