Cybersécurité : tout savoir sur les menaces DNS

Aujourd’hui, il est communément admis que le DNS constitue l’un des services IT les plus critiques pour une entreprise, quel que soit son domaine d’activité. De nombreux rapports émanant d’experts, d’analystes et d’instituts de recherche mondialement reconnus, ont démontré l’importance du service DNS pour garantir la continuité de l’activité. Les pirates peuvent avoir pour objectif, par exemple, de perturber l’activité de l’organisation, corrompre des données ou encore dérober des informations.

Pour atteindre leurs objectifs, les pirates sont en recherche permanente de vulnérabilités potentiellement exploitables. Avec le temps, ils ont développé une grande variété d’attaques DNS, que l’on peut classer en trois grandes catégories.

• Attaques DoS volumétriques

Ces attaques visent à faire tomber le serveur en le submergeant de requêtes en très grand nombre, entraînant la dégradation ou l’indisponibilité du service.

• Attaques DoS furtives / par injection lente

Émission de faibles volumes de requêtes DNS spécifiques visant à épuiser la capacité de traitement des requêtes sortantes, se traduisant également par la dégradation ou l’indisponibilité du service.

• Exploits

Ces attaques visent à exploiter les bugs et/ou failles du protocole ou des services DNS, ou du système d’exploitation sous-jacent.

DNS : LES MENACES ET LEUR PORTÉE

Zoom sur les attaques volumétriques 

• Attaques DoS DNS directes 

Submersion des serveurs DNS par de très gros volumes de requêtes directes, provoquant la saturation du cache et des fonctions récursives/d’autorité. Ces attaques sont généralement menées depuis des adresses IP usurpées (spoofind).

• Réflexion DNS

Attaques utilisant de nombreux de nombreux serveurs de résolution ouverts et distribués pour submerger les serveurs d’autorité de la victime (généralement associées aux attaques par amplifications). 

• NIXDOMAIN

Submersion des serveurs DNS avec des requêtes de domaines inexistants, provoquant une saturation des fonctions récursives.

• Amplification DNS (DDoS)

Requêtes DNS spécifiques générant une réponse amplifiée afin de submerger les serveurs par un trafic très important.

 Zoom sur les attaques DoS furtives / par injection lente

• Attaques de domaine “Sloth”

Attaques basées sur des requêtes envoyées au domaine d’autorité du pirate, dont les réponses volontairement très lentes du serveur, juste avant la fin du délai, provoquent l’épuisement des capacités récursives du serveur de la victime.

• Attaques de domaine “Phantom”

Attaques ciblant les fonctions de résolution DNS en leur soumettant des requêtes de sous-domaines pour lesquels le serveur de domaine est injoignable, provoquant la saturation du cache du serveur.

• Attaque de sous-domaine “Random” (RQName)

 Attaques basées sur des requêtes de noms aléatoires (random) provoquant la saturation des fonctions récursives et d’autorité du serveur.

Zoom sur les exploitations de vulnérabilités

• Vulnérabilité de type “Zero Day”

Ces attaques exploitent les failles de sécurité DNS pour lesquelles aucun correctif n’est encore disponible.

• Exploitations DNS

 Attaques visant à exploiter les bugs et/ou failles du protocole ou des services DNS, ou du système d’exploitation sous-jacent.

• Requêtes DNS anormales

 Ces attaques sont basées sur des requêtes DNS anormales visant à provoquer l’arrêt du service ou son dérèglement. 

• DNS tunneling

Le protocole DNS est utilisé pour encapsuler d’autres protocoles ou des données afin de contrôler à distance des logiciels malveillants et/ou l’exfiltration de données. 

• Empoisonnement du cache DNS

Ces attaques introduisent des données dans le cache du serveur de résolution, le forçant à retourner une adresse IP invalide et détourner le trafic vers la machine du pirate. 

 Attaques DNS : les solutions de sécurité classiques ne suffisent plus

 À l’heure actuelle, le service DNS fait partie des services les plus visés lors d’attaques de type DoS (davantage que le courrier électronique), tandis que 91% des logiciels malveillants s’appuient sur ce protocole pour communiquer avec leurs serveurs de commande et contrôle (C&C) ou exfiltrer des données confidentielles. Les pirates sont constamment à la recherche de nouvelles vulnérabilités DNS qui leur permettraient de compromettre la sécurité de l’infrastructure IT.

• Des attaques toujours plus sophistiquées

Avec ces attaques qui combinent plusieurs vecteurs d’agression simultanés, les mécanismes de défense classiques s'avèrent clairement dépassés. Le service DNS étant un protocole « sans connexion », il est impératif de disposer de capacités d’analyse élaborées pour véritablement identifier les menaces dissimulées au sein du trafic, et pouvoir déclencher des contre-mesures adaptées, afin de garantir l’intégrité et la disponibilité du service.

• Bénéficier d’une protection spécifique

En conséquence, les solutions de sécurité doivent être conçues pour offrir une protection contre des types spécifiques d’attaques, plutôt que contre certaines menaces précises, dont il est très difficile, voire impossible, de maintenir à jour une liste exhaustive. En plus d’être coûteuse, cette dernière approche comporte le risque de bloquer des requêtes légitimes (faux positifs).

Ce qu’il faut retenir : 

Face à la recrudescence des cyberattaques visant le DNS, il est indispensable pour les entreprises de savoir se protéger. Les solutions de sécurité classiques existantes constituent un premier niveau de protection contre les attaques DNS. En revanche, elles montrent d’ores et déjà leurs limites et peuvent s’avérer dangereuses si elles ne sont pas utilisées avec toutes les précautions qui s’imposent. Il est grand temps d’envisager de nouvelles façon de parer les attaques DNS. Vous avez besoin d’aide ? Contactez nos équipes d’experts !