China Netcom fällt Opfer für DNS-Cache-Vergiftung

Einer der größten ISPs (Internet Service Providers) in China ist laut Sicherheitsanbieter Websense Opfer einer gefährlichen Schwachstelle im Adressierungssystem des Internets geworden.

Der Fehler, der als einer der gravierendsten beschrieben wurde, den es je gegeben hat Das Internet kann dazu führen, dass Web-Surfer auf betrügerische Websites umgeleitet werden, selbst wenn die URL (Uniform Resource Locator) korrekt in die Adressleiste eines Browsers eingegeben wurde.

Entdeckt vom Sicherheitsforscher Dan Kaminsky, ist das Problem im DNS verwurzelt (Domain Name System). Wenn ein Benutzer eine Webadresse in einen Browser eingibt, wird die Anforderung an einen DNS-Server oder einen Cache gesendet, der die entsprechende numerische IP-Adresse für eine Website zurückgibt.

[Weitere Informationen: Entfernen von Malware aus Ihr Windows PC]

Der Fehler erlaubt es dem DNS-Server, mit falschen Informationen gefüllt zu werden und Benutzer auf schädliche Websites zu leiten. Die China-Netcom-Attacke ist besonders interessant, weil sie nur diejenigen betrifft, die bestimmte URLs falsch schreiben, sagte Carl Leonard, Sicherheitsrecherche-Manager für das Web-Labor von Websense.

Der neueste Hack wurde von dem Websense-Labor in Peking entdeckt, von dem einige Forscher China Netcom verwenden Ihr ISP, sagte Leonard. Websense hat andere DNS-Attacken gesehen, aber aufgrund seiner interessanten Ausführung diese spezielle Version veröffentlicht.

Hacker haben einen der DNS-Server von China Netcom manipuliert, um nur Benutzer umzuleiten, die beispielsweise eher gogle.cn eingeben als google.cn. Auf diese Weise werden weniger Benutzer auf bösartige Websites geleitet, aber die Strategie besteht darin, die Angriffe so gering wie möglich zu halten, um keine Aufmerksamkeit zu erregen.

"Die Malware-Autoren versuchen, unter dem Radar zu bleiben", sagte Leonard

Opfer werden auf bösartige Websites umgeleitet, von denen einige noch aktiv sind und versuchen, bekannte Sicherheitslücken in Software wie dem RealPlayer Multimedia Player von RealNetworks und dem Flash Player von Adobe System auszunutzen.

Ein weiterer Exploit versucht, diese zu nutzen ein Problem mit einem ActiveX-Steuerelement für Snapshot Viewer von Microsoft, das zum Anzeigen von Berichten für relationales Datenbankprogramm Microsoft Access verwendet wird.

Obwohl Adobe, Microsoft und RealPlayer Patches für einige dieser Sicherheitsanfälligkeiten veröffentlicht haben, sehen Hacker immer noch Möglichkeiten. "Es sagt uns, dass die Leute diese Patches nicht angewendet haben", sagte Leonard.

Wenn ein Exploit erfolgreich ist, wird der PC ein Trojanisches Pferd-Programm herunterladen, das Updates für Antivirensoftware ausschaltet, sagte Leonard. Websense hat China Netcom benachrichtigt, ist sich aber noch nicht sicher, ob der DNS-Server gepatcht wurde.

Kaminsky und andere Forscher koordinierten eine massive geheime Kampagne mit Anbietern, um ihre DNS-Software zu patchen, aber Details wurden am 21. Juli veröffentlicht Allerdings haben noch nicht alle ISPs Patches gepatcht, wodurch einige Benutzer gefährdet sind. Außerdem reduzieren die verfügbaren Patches nur die Erfolgswahrscheinlichkeit eines Angriffs, anstatt einen DNS-Server vollständig gegen einen Angriff zu sichern, sagte Leonard.

"Es muss eine längerfristige Lösung verfügbar gemacht werden", sagte Leonard.