Angriffscode für neuen DNS-Angriff freigegeben

Hacker haben Software veröffentlicht, die nutzt einen kürzlich offengelegten Fehler in der Domain Name System (DNS) -Software, die zum Weiterleiten von Nachrichten zwischen Computern im Internet verwendet wird.

Der Angriffscode wurde am Mittwoch von Entwicklern des Metasploit-Hacker-Toolkits veröffentlicht.

Internet-Sicherheitsexperten warnen davor Code kann Kriminellen eine Möglichkeit geben, praktisch nicht nachweisbare Phishing-Angriffe gegen Internetnutzer zu starten, deren Dienstanbieter die neuesten DNS-Server-Patches nicht installiert haben.

[Weitere Informationen: Beste NAS-Boxen für Media-Streaming und Backup]

Angreifer können ebenfalls verwenden Der Code, mit dem Benutzer unbemerkt auf gefälschte Software-Update-Server umgeleitet werden, um Schadsoftware auf ihren Computern zu installieren, sagte Zulfikar Ramizan, technischer Leiter beim Sicherheitsanbieter Symantec. "Was diese ganze Sache wirklich gruselig macht, ist, dass sie aus Sicht des Endanwenders nichts bemerken", sagte er.

Der Fehler wurde Anfang dieses Monats von IOActive-Forscher Dan Kaminsky entdeckt, aber technische Details des Fehlers waren Anfang dieser Woche ins Internet gelangt, um den Metasploit-Code zu ermöglichen. Kaminsky hatte mehrere Monate mit führenden Anbietern von DNS-Software wie Microsoft, Cisco und dem Internet Systems Consortium (ISC) zusammengearbeitet, um eine Lösung für das Problem zu entwickeln. Die Firmenbenutzer und Internetdienstanbieter, die die Hauptnutzer von DNS-Servern sind, hatten seit dem 8. Juli den Fehler zu beheben, aber viele haben das Update noch nicht auf allen DNS-Servern installiert.

Der Angriff ist eine Variation dessen, was als bekannt ist ein Cache-Poisoning-Angriff. Es hat damit zu tun, wie DNS-Clients und -Server Informationen von anderen DNS-Servern im Internet beziehen. Wenn die DNS-Software die numerische IP-Adresse (Internet Protocol) eines Computers nicht kennt, fragt sie einen anderen DNS-Server nach diesen Informationen. Mit Cache-Poisoning trickst der Angreifer die DNS-Software zu der Annahme, dass legitime Domänen wie idg.com bösartigen IP-Adressen zugeordnet sind.

Bei einem Angriff von Kaminsky schließt ein Cache-Poisoning-Versuch auch Daten ein, die als "zusätzlicher Ressourcendatensatz" bekannt sind. Durch Hinzufügen dieser Daten wird der Angriff viel mächtiger, sagen Sicherheitsexperten.

Ein Angreifer könnte einen solchen Angriff gegen die Domain-Nameserver eines Internetdienstanbieters (ISP) starten und diese dann auf bösartige Server umleiten. Durch die Vergiftung des Domain-Namen-Datensatzes für www.citibank.com könnten die Angreifer beispielsweise die Benutzer des Internetdienstanbieters jedes Mal zu einem bösartigen Phishing-Server umleiten, wenn sie versuchten, die Banking-Website mit ihrem Webbrowser zu besuchen.

Am Montag Sicherheitsfirma Matasano hat versehentlich Details des Fehlers auf seiner Website veröffentlicht. Matasano entfernte schnell den Posten und entschuldigte sich für seinen Fehler, aber es war zu spät. Details des Fehlers breiteten sich bald im Internet aus.

Obwohl für die meisten Benutzer von DNS-Software ein Softwarefix verfügbar ist, kann es einige Zeit dauern, bis diese Updates ihren Weg durch den Testprozess gefunden haben und tatsächlich im Netzwerk installiert werden.

"Die meisten Leute haben noch nicht gepatcht", sagte ISC-Präsident Paul Vixie Anfang dieser Woche in einem E-Mail-Interview. "Das ist ein gigantisches Problem für die Welt."

Metasploits Code sieht "sehr real" aus und verwendet Techniken, die zuvor nicht dokumentiert waren, sagte Amit Klein, Chief Technology Officer bei Trusteer.

Es wird wahrscheinlich bei Angriffen eingesetzt werden, er sagte voraus. "Jetzt, wo der Exploit da draußen ist, kombiniert mit der Tatsache, dass nicht alle DNS-Server aktualisiert wurden, sollten Angreifer den Cache einiger ISPs vergiften können", schrieb er in einem E-Mail-Interview. "Die Sache ist - wir werden vielleicht nie von solchen Angriffen erfahren, wenn die Angreifer … sorgfältig arbeiten und ihre Spuren richtig abdecken."