A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.
Il rebinding DNS è un tipo di attacco informatico che sfrutta il DNS (Domain Name System) per eseguire codice JavaScript dannoso e per attaccare i dispositivi presi di mira nella rete privata di un utente. In un attacco di rebinding DNS, gli hacker ingannano il browser della vittima eseguendo uno script lato client che attacca i computer connessi alla rete privata della vittima che non sono esposti all'Internet pubblico. Questi attacchi stabiliscono, inoltre, una comunicazione tra il server del criminale e un'applicazione web connessa alla rete della vittima, solitamente per eseguire malware o per facilitare l'esecuzione di altre azioni dannose.
Che cos'è il DNS?
Il DNS (Domain Name System) si può considerare la rubrica di Internet, pertanto è essenziale per consentire a utenti, dispositivi e applicazioni di caricare rapidamente le pagine web o di contattare altri computer. I servizi DNS convertono i nomi di dominio leggibili dall'uomo, come "esempio.com", in indirizzi IP che possono essere letti dai computer, come 2600:1401:4000:5b1::b63. Senza un DNS, gli utenti dovrebbero ricordare lunghe stringhe di numeri ogni volta che visitano un sito web.
Come funziona il DNS?
Quando un utente digita il nome di un sito web in un browser o fa clic su un collegamento, viene creata una query DNS (o richiesta DNS) per identificare l'indirizzo IP corrispondente. La richiesta viene prima indirizzata ad un server dei nomi DNS denominato server ricorsivo o resolver, che può risolvere la richiesta ricavando le informazioni DNS dai dati memorizzati nella cache in base alle risposte formulate alle richieste precedenti. Se i record richiesti non sono memorizzati nella cache del DNS, il resolver DNS inoltra la richiesta ad altri server dei nomi e, infine, a un server DNS autoritativo che conserva il record DNS ufficiale per il dominio. Quando il server ricorsivo individua le informazioni richieste, inoltra la risposta del DNS e l'indirizzo IP al dispositivo dell'utente, che carica accuratamente la risorsa o la pagina web appropriata.
Perché i criminali prendono di mira il DNS?
Il sistema DNS viene frequentemente preso di mira dagli attacchi per tre semplici motivi: è coinvolto praticamente in ogni aspetto delle attività web, non presenta misure di sicurezza integrate e il suo traffico viene solitamente fatto passare dai firewall senza alcuna ispezione.
Come funziona il rebinding DNS?
Gli attacchi di rebinding DNS sono progettati per bypassare le restrizioni della funzione SOP (Same-Origin Policy). Questa funzione di sicurezza del browser impedisce ai siti web caricati da un'origine di interagire o effettuare richieste alle risorse provenienti da un'altra origine senza un'esplicita autorizzazione. Ad esempio, se un utente fa clic su un collegamento dannoso su un sito web, la funzione SOP impedisce alla pagina web dannosa di effettuare una richiesta HTTP al sito della banca dell'utente e di accedere per sottrarre fondi da un conto di risparmio.
In un attacco di rebinding DNS, i criminali assumono prima il controllo di un server DNS dannoso che risponde alle query da uno specifico dominio, ad es., esempio.com. Il criminale poi usa delle tecniche come il phishing per indurre l'utente a caricare il dominio dannoso sul suo browser, effettuando una richiesta DNS per ottenere l'indirizzo IP del dominio esempio.com. Il server del criminale inizialmente risponde con l'indirizzo IP reale del dominio esempio.com, ma imposta il valore TTL (Time To Live) su un secondo in modo da non conservare il record DNS nella cache per lungo tempo. Alle successive richieste dei record DNS, il criminale sostituisce un indirizzo IP di una risorsa nella rete locale della vittima, aggirando le restrizioni della funzione SOP e consentendo al criminale di eseguire azioni dannose sul browser. È possibile usare gli attacchi di rebinding DNS per esfiltrare informazioni sensibili, interrompere le attività aziendali, eseguire azioni non autorizzate o porre le basi per sferrare attacchi più vasti.
Qual è la protezione più efficace contro gli attacchi di rebinding DNS?
Per migliorare la cybersicurezza e proteggersi dagli attacchi di rebinding DNS, i team addetti alla sicurezza e all'IT possono:
- Restringere l'esecuzione di codice JavaScript in modo da impedire ai criminali di forzare le richieste.
- Bloccare il DNS per forzare i browser a memorizzare nella cache i risultati di risoluzione del DNS per un periodo di tempo stabilito, indipendentemente dal valore TTL presente nei record DNS. In tal modo, i siti web dannosi non possono eseguire il rebinding degli hostname effettuando ripetute richieste DNS in un breve periodo di tempo.
- Implementare le comunicazioni HTTPS su tutti i servizi privati. Poiché l'handshake HTTPS richiede al dominio corretto di confermare il certificato SSL, gli script dannosi non riescono a stabilire connessioni SSL per colpire i servizi durante un attacco di rebinding.
- Scegliere un provider di soluzioni per la sicurezza DNS che offre una protezione in tempo reale applicando firme sofisticate in grado di riconoscere i modelli di query DNS anomali e di acquisire gli indicatori di compromissione (IoC) di attacchi di rebinding noti.