Durante gli ultimi due giorni in rete si è ampiamente parlato di alcune "carenze" del protocollo utilizzato dal Domain Name System (sistema di mapping name-to-address alla base della maggior parte dei servizi Internet), che possono essere sfruttare per eseguire il danneggiamento delle cache DNS (cache pollution o poisoning) e re-dirigere il traffico utente su Internet. Si tratta di una problematica scoperta mesi fa e mantenuta finora in stretto riserbo per coordinare una collaborazione tra i più di 80 vendor coinvolti (tra cui Microsoft, Cisco, e Sun) mirata alla distribuzione di patch (partita proprio due giorni fa).

Microsoft ha nello specifico reso disponibile un aggiornamento di protezione dedicato a questa problematica di sicurezza nell'ambito del Patch Day di Luglio, con il rilascio del bollettino MS08-037 ("Alcune vulnerabilità presenti in DNS possono consentire attacchi di spoofing"). Questo aggiornamento per la protezione è considerato di livello importante per tutte le edizioni supportate di Microsoft Windows 2000, Windows XP, Windows Server 2003 e Windows Server 2008.

Bisogna tuttavia ricordare, come evidenziato da Dan Kaminsky, director del penetration testing per IO Active, il ricercatore che ha scoperto originariamente queste vulnerabilità e verificato le possibilità di exploit delle stesse, che si tratta di un "bug di design" che affligge numerose piattaforma allo stesso modo (in podcast). Kaminsky è riuscito a contattare e coinvolgere nella risoluzione del problema tutti i principali vendor affetti (riunitosi a Marzo nel campus di Microsoft), che hanno ora reso disponibili aggiornamenti di protezione coordinati. La problematica coinvolge Bind, il servizio "DNS Server" e "DNS Client" di Microsoft, i prodotti Cisco, Sun, Red Hat, etc.

Dalla overview di per IO Active: "Sebbene la maggior parte degli utenti home saranno automaticamente aggiornati, è importante per tutte le aziende aggiornare immediatamente i propri network. Si tratta del più grande aggiornamento di protezione sincronizzato nella storia di Internet … Per esempio, un attacker potrebbe colpire un ISP, rimpiazzando l'intero Web – tutti i motori di ricerca, i network sociali, le banche, e altri siti – con i propri contenuti nocivi. Contro gli ambienti corporate, un attacker potrebbe distruggere o monitorare le operazioni tramite il rerouting del traffico di rete, la capturing delle e-mail e di altri dati aziendali sensibili ... La buona notizia è che data la natura del problema, è estremamente difficile identificare la vulnerabilità semplicemente analizzando le patch; una tecnica comunemente utilizzata dai cybercriminali per identificare le debolezze di sicurezza. Sfortunatamente, data la portata di questo aggiornamento, è molto probabile che la vulnerabilità diverrà pubblica entro alcune settimane dalla release coordinata. Per questo, tutti i singoli e le aziende dovrebbero applicare le patch offerte dai propri vendor il più rapidamente possibile".

L'US-CERT ha rilasciato un advisory dedicato alla problematica nel quale incoraggia all'installazione delle patch finora rese disponibili dai vendor. Secondo l'US-CERT, alcuni esempi di queste "carenze" del protocollo DNS includono: Spazio di transazione ID insufficiente (che, eventualmente a causa di implementazioni non corrette ed errori conosciuti nella randomizzazione degli ID d transazione, può facilitare la predizione di un ID da parte di un attacker); Richieste outstanding multiple (che possono consentire un 'birthday attack'); Porta sorgente fissa per la generazione delle query (non random, ma la 53/udp).

Kaminsky renderà pubblici i dettagli tecnici sulla vulnerabilità durante la prossima conferenza Black Hat 2008 fissata per il 6 Agosto a Las Vegas. Kaminsky ha anche sviluppato uno strumento per aiutare le persone a stabilire se sono a rischio (derivato da nomi server "upstream", come il proprio ISP).

IO Active evidenzia tuttavia che non c'è "assolutamente alcun motivo di panico": attualmente non esiste evidenza di attività maliziosa che sfrutti questa problematica di sicurezza. Allo stesso modo è importante per tutti seguire le linee guida dei propri vendor per proteggere se stessi e le proprie organizzazioni.