<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=441681&amp;fmt=gif">

30 august 2022

Ikke vær kvikk med QUIC

2 min lesetid

30. august 2022

Hva er QUIC?

QUIC er en protokoll, bygget på toppen av User Datagram Protocol (UDP), for å minimere lasten for webservere og gi en forbedret brukeropplevelse. Nettlesere som er basert på Chromium med standardinnstillinger, bruker QUIC.

QUIC-protokollen er fantastisk for deg som enkeltperson og din persondata. Men det er ikke lett å beskytte seg mot angrep gjemt inni QUIC protokollen. Det er ingen brannmurer, som jeg vet om, som støtter inline-dekryptering av QUIC. Uten visibilitet klarer ikke brannmuren å beskytte deg mot angrep.

Det er nylig blitt mulig å sende DNS-forespørsler over QUIC- protokollen

DNS er en enkel protokoll for å forenkle brukeropplevelsen på nett. Men med feil implementasjon er det mulig med "ekstern kjøring av kode (RCE)" på enheten. Dette kan være svært skadelig for deg og din bedrift. Din informasjon kan komme på avveie eller bli kryptert.

Vi anbefaler å blokkere hele QUIC protokollen, for å gi brannmuren mulighet til å se trafikken. Klientapplikasjoner som bruker QUIC og alle Chromium-baserte nettlesere, vil falle tilbake på TLS når QUIC feiler. Det er også anbefalt å droppe alle deformerte DNS-responser.

DNS Compression - angrepsbeskrivelse

I juli 2022 kom det ut en Request for comments (RFC) som beskriver muligheten til å misbruke DNS-komprimerings funksjonaliteten. Den adresserer måten «DNS Resource record (RR)» blir prosessert, og referer til flere Common Vulnerabilities and Exposures (CVEer).

DNS-komprimering fungerer ved å minimere like domenenavn, ved å bytte det ut med en referanse til ett domenenavn i DNS pakken. På den måten er det bare én forekomst av domenenavnet.

Offset
Det som kan oppstå er at når en DNS-pakke blir mottatt, blir ikke referansen validert. Og da vil klienten laste uønsket og muligens skadelig data inn i minne. Dataen som blir lastet inn i minne kan ha mulighet til å overkjøre rammene som er satt for DNS forespørselen. Det vil gjøre det mulig å kjøre tjenestenektangrep eller ekstern kodekjøring (RCE).

Les mer her:
RFC 9250: DNS over Dedicated QUIC Connections (rfc-editor.org)
DNS-over-QUIC is now officially a proposed standard (adguard.com)

 

Ønsker du å snakke med oss om QUIC er det bare å ta kontakt.

 

 

Relaterte tema: Skysikkerhet Brannmur
Filip Fog

Skrevet av Filip Fog

Filip er en av få Palo Alto Networks Guardians i EMEA og er sertifisert på alle de tre hovedområdene innenfor Palo Alto Networks. Strata (PCNSC & PCNSE), Cortex (PCDRA & PCSAE) og Prisma Cloud (PCCSE). Filip er også sertifisert innen hendelseshåndtering (GCFA), nettverksundersøkelse (GCIA) og trusselforsvar (GDAT) og har vunnet flere sikkerhetskonkurranser (NetWars, SANS Challenge Coins). Han jobber aktivt med å håndtere hendelser fra endepunkt og perimeter, og automatisere håndteringen av slike hendelser.