Dns rebinding kan aanvallers toegang tot lokale netwerk geven

[Captain Kirk]

Alleen door het openen van de verkeerde link of het zien van een advertentie kan een aanvaller toegang tot het lokale netwerk en achterliggende apparaten krijgen. Daarvoor waarschuwt onderzoeker Brannon Dorsey. De techniek die aanvallers hiervoor kunnen gebruiken wordt dns rebinding genoemd.

Het zorgt ervoor dat een aanvaller vanaf het internet de firewall van de gebruiker kan omzeilen en zijn browser kan gebruiken om direct met de apparaten op het thuisnetwerk te communiceren. Dns rebinding kwam de afgelopen maanden verschillende keren in het nieuws. Zo bleken games van gameontwikkelaar Blizzard, zoals StarCraft en World of WarCraft, hier kwetsbaar voor te zijn, alsmede de torrentclient Transmission en de Fritzbox-modems van fabrikant AVM.

De same-origin policy is een beveiligingsmaatregel die moet voorkomen dat een website die in de browser is geopend geen andere geopende websites kan benaderen. Ook zorgt het ervoor dat een script op een website geen toegang tot andere machines op het lokale netwerk kan krijgen. Een belangrijk onderdeel van de same-origin policy is het vergelijken van domeinnamen. Dns rebinding maakt hier gebruik van door het ip-adres van een domeinnaam snel te veranderen in een ander ip-adres.

Voor de browser gaat het nog steeds om dezelfde domeinnaam, maar wordt er wel een ander ip-adres geladen. Dit kan zowel een lokaal als extern ip-adres zijn. Op deze manier kan een aanvaller via de browser van de gebruiker bij lokale ip-adressen komen en zo toegang tot allerlei apparaten krijgen. Dorsey plaatste op Medium een uitgebreide uitleg over de werking van dns rebinding.

Ook ontdekte hij dat verschillende apparaten, zoals de Radio Thermostat CT50, Google Home, Chromecast, RokuTV en Sonos WiFi-speakers hiervoor kwetsbaar zijn of waren. Inmiddels is Roku met een update gekomen en doet Sonos dit volgende maand. Daarnaast zijn er verschillende maatregelen die eindgebruikers kunnen nemen, zoals het gebruik van OpenDNS dat verdachte ip-adressen in dns-verzoeken filtert. Een andere optie is het gebruik van Dnsmasq of het installeren van router-firmware zoals DD-WRT, aldus de onderzoeker.

 

 

bron: security.nl