An adversary serves content whose IP address is resolved by a DNS server that the adversary controls. After initial contact by a web browser (or similar client), the adversary changes the IP address to which its name resolves, to an address within the target organization that is not publicly accessible. This allows the web browser to examine this internal address on behalf of the adversary.
Description
Attack Execution Flow
5
1
Step 1
Explore[Identify potential DNS rebinding targets] An adversary publishes content on their own server with their own name and DNS server. Attract HTTP traffic and explore rebinding vulnerabilities in browsers, flash players of old version.
Adversary uses Web advertisements to attract the victim to access adversary's DNS. Explore the versions of web browser or flash players in HTTP request.
AI Translation
[Identifica potenziali target di DNS rebinding] Un adversario pubblica contenuti sul proprio server con il proprio nome e server DNS. Attira traffico HTTP ed esplora vulnerabilità di rebinding nei browser, nelle versioni vecchie di flash player.
L'adversario utilizza annunci web per attrarre la vittima a accedere al DNS dell'adversario. Esamina le versioni del browser web o dei flash player nelle richieste HTTP.
Attack Techniques
-
Adversary uses Web advertisements to attract the victim to access adversary's DNS. Explore the versions of web browser or flash players in HTTP request.
2
Step 2
Experiment[Establish initial target access to adversary DNS] The first time the target accesses the adversary's content, the adversary's name must be resolved to an IP address. The adversary's DNS server performs this resolution, providing a short Time-To-Live (TTL) in order to prevent the target from caching the value.
AI Translation
[Stabilire l'accesso iniziale al target tramite DNS dell'adversary] La prima volta che il target accede ai contenuti dell'adversary, il nome dell'adversary deve essere risolto in un indirizzo IP. Il server DNS dell'adversary esegue questa risoluzione, fornendo un TTL (Time-To-Live) breve per impedire al target di memorizzare nella cache il valore.
3
Step 3
Experiment[Rebind DNS resolution to target address] The target makes a subsequent request to the adversary's content and the adversary's DNS server must again be queried, but this time the DNS server returns an address internal to the target's organization that would not be accessible from an outside source.
AI Translation
[Ripristina la risoluzione DNS all'indirizzo di destinazione] Il target effettua una richiesta successiva al contenuto dell'attore malevolo e il server DNS dell'attaccante deve essere nuovamente interrogato, ma questa volta il server DNS restituisce un indirizzo interno all'organizzazione del target che non sarebbe accessibile da una fonte esterna.
4
Step 4
Experiment[Determine exploitability of DNS rebinding access to target address] The adversary can then use scripts in the content the target retrieved from the adversary in the original message to exfiltrate data from the named internal addresses.
AI Translation
[Determinare l'esploitabilità dell'accesso DNS rebinding all'indirizzo di destinazione] L'attaccante può quindi utilizzare script nel contenuto che il target ha recuperato dall'attaccante nel messaggio originale per esfiltrare dati dagli indirizzi interni nominati.
5
Step 5
Exploit[Access & exfiltrate data within the victim's security zone] The adversary can then use scripts in the content the target retrieved from the adversary in the original message to exfiltrate data from the internal addresses. This allows adversaries to discover sensitive information about the internal network of an enterprise.
Adversary attempts to use victim's browser as an HTTP proxy to other resources inside the target's security zone. This allows two IP addresses placed in the same security zone.
Adversary tries to scan and access all internal hosts in victim's local network by sending multiple short-lived IP addresses.
AI Translation
[Accesso e esfiltrazione di dati all’interno della zona di sicurezza della vittima] L’avversario può quindi utilizzare script nel contenuto che il bersaglio ha recuperato dall’avversario nel messaggio originale per esfiltrare dati dagli indirizzi interni. Questo consente agli avversari di scoprire informazioni sensibili sulla rete interna di un’azienda.
L’avversario tenta di usare il browser della vittima come proxy HTTP verso altre risorse all’interno della zona di sicurezza del bersaglio. Ciò permette di collocare due indirizzi IP nella stessa zona di sicurezza.
L’avversario cerca di scansionare e accedere a tutti gli host interni nella rete locale della vittima inviando più indirizzi IP a breve durata.
Attack Techniques
-
Adversary attempts to use victim's browser as an HTTP proxy to other resources inside the target's security zone. This allows two IP addresses placed in the same security zone.
-
Adversary tries to scan and access all internal hosts in victim's local network by sending multiple short-lived IP addresses.IT: L'attaccante tenta di utilizzare il browser della vittima come proxy HTTP verso altre risorse all'interno della zona di sicurezza del bersaglio. Ciò consente di collocare due indirizzi IP nella stessa zona di sicurezza.
Mitigations
3
Design: Ip Pinning Causes Browsers To Record The Ip Address To Which A Given Name Resolves And Continue Using This Address Regardless Of The Ttl Set In The Dns Response. Unfortunately, This Is Incompatible With The Design Of Some Legitimate Sites.
Implementation: Employ Dns Resolvers That Prevent External Names From Resolving To Internal Addresses.
Implementation: Reject Http Request With A Malicious Host Header.
Consequences
Security Scopes Affected
Access Control
Accountability
Authentication
Authorization
Confidentiality
Integrity
Non-Repudiation
Potential Impacts
Bypass Protection Mechanism
Execute Unauthorized Commands
Gain Privileges
Modify Data
Read Data
Relationships
Parent CAPECs
Resources Required
1
The adversary must serve some web content that a victim accesses initially. This content must include executable content that queries the adversary's DNS name (to provide the second DNS resolution) and then performs the follow-on attack against the internal system. The adversary also requires a customized DNS server that serves an IP address for their registered DNS name, but which resolves subsequent requests by a single client to addresses internal to that client's network.