¿Qué es la revinculación de DNS?

La revinculación de DNS es un método para manipular la resolución de nombres de dominio que suele emplearse para lanzar ciberataques. Este tipo de ataque utiliza una página web maliciosa para engañar a los usuarios, quienes sin saberlo ejecutan un script del lado del cliente que posteriormente infecta a otras máquinas de la red.

La revinculación de DNS establece una comunicación entre el servidor del atacante y una aplicación web de la red interna de la víctima a través de un navegador. Para entender cómo funciona este proceso, primero debemos explicar dos conceptos: la política del mismo origen (SOP) y el tiempo de vida (TTL).

Vídeo relacionado

Cómo utilizan el DNS los atacantes para robarle sus datos

W¿Qué es la política del mismo origen (SOP)?

Los navegadores web utilizan la política del mismo origen como un mecanismo de defensa para controlar la manera en la que los sitios web cargados desde un mismo origen interactúan con recursos de otros orígenes. El origen de un sitio web está definido por el protocolo (p. ej., http://), el dominio (p. ej., paloaltonetworks.com) y el puerto (p. ej. :80). Por ejemplo, las URL A y B que se muestran a continuación tienen el mismo origen, mientras que la URL C tienen un origen distinto.

  • A: http://www[.]sunombre[.]com/indice[.]html

  • B: http://www[.]sunombre[.]com/noticias[.]html

  • C: https:///www[.]sunombre[.]com/indice[.]html (el protocolo es distinto)

Los sitios web que siguen la política del mismo origen restringen las interacciones entre políticas. Por ejemplo, un código como JavaScript que se origine en http://www[.]atacante[.]com/inicio.html y envíe una solicitud HTTP a http://www[.]sunombre[.]com/noticias[.]html se restringirá.

¿Qué es el tiempo de vida (TTL)?

En un sistema DNS el tiempo de vida mide los segundos que un registro puede almacenarse en caché antes de que un servidor web vuelva a consultar al servidor de nombres DNS para obtener una respuesta. Por ejemplo, un TLL de 300 segundos guarda los registros durante cinco minutos. Una vez transcurrido ese tiempo, los registros quedan obsoletos y no pueden utilizarse. Normalmente, el TTL lo define el servidor de nombres autoritativo de un dominio.

Cómo consiguen burlar la política del mismo origen los ataques de revinculación de DNS

El objetivo de un ataque de revinculación de DNS es eludir las restricciones de la SOP. Por un lado, tenemos un atacante que registra el dominio http://www[.]atacante[.]com y lo delega a un servidor DNS que él mismo controla. Por el otro, está la empresa Sunombre Inc., que aloja su red interna tras un cortafuegos. Los empleados de Sunombre Inc. tienen acceso a una aplicación alojada en un servidor web de la empresa cuya IP es 60.6.6.60. Imaginemos que un empleado de Sunombre Inc. está navegando por internet desde un portátil o una tableta dentro de la red de la empresa y que hace clic en el sitio web www[.]atacante[.]com.

El servidor DNS controlado por el atacante envía la dirección IP auténtica a la solicitud del empleado, pero lo hace con un TTL muy breve para evitar que la respuesta se almacene en caché (recuerde que el servidor DNS es el encargado de establecer la política de TTL). El navegador del empleado descarga la página, que contiene un código malicioso con el que se vincula la dirección IP local al servidor DNS del atacante. De esta forma, se consigue que el dominio www[.]atacante[.]com dirija a la IP 60.6.6.60 y, como esta IP tiene el mismo origen que el servidor web de la empresa, el código del atacante puede exfiltrar la información y los datos confidenciales de la empresa.

La mejor protección frente a los ataques de revinculación de DNS se implementa en la capa de DNS. Para obtener más información, visite https://www.paloaltonetworks.es/network-security/advanced-dns-security.