Umfrage: Ein DNS-Server in 10 ist "trivially vulnerable"

Mehr als 10 Prozent der DNS-Server (Domain Name System) des Internets sind immer noch anfällig für Cache-Poisoning-Attacken, wie eine weltweite Umfrage öffentlich zugänglicher Internet-Nameserver zeigt.

Das ist trotz Es dauerte mehrere Monate, bis die Sicherheitslücken bekannt wurden und Fixes verfügbar gemacht wurden, sagte DNS-Experte Cricket Liu, dessen Firma Infoblox die jährliche Umfrage in Auftrag gab.

"Wir schätzen, dass es 11,9 Millionen Nameserver gibt und über 40 Prozent eine offene Rekursion erlauben Daher akzeptieren sie Anfragen von allen. Von diesen wird ein Viertel nicht gepatcht. Also gibt es 1,3 Millionen Nameserver, die trivial angreifbar sind ", sagte Liu, der Vice President für Architektur von Infoblox.

[Weitere Informationen: So entfernen Sie Malware von deinem Wind ows PC]

Andere DNS-Server können zwar Rekursion erlauben, sind aber nicht für jedermann zugänglich, so dass sie nicht von der Umfrage erfasst wurden.

Liu sagte, die Cache-Poisoning-Schwachstelle, die oft genannt wird Dan Kaminsky, der Sicherheitsforscher, der Details davon im Juli veröffentlicht hat, ist authentisch: "Kaminsky wurde wenige Tage nach der Veröffentlichung ausgenutzt."

Module zum Angriff auf Hacker und Penetrationstests Metasploit wurden um Module erweitert, die auf die Sicherheitslücke abzielen, zum Beispiel. Ironischerweise wurde einer der ersten DNS-Server, die durch einen Cache-Poisoning-Angriff kompromittiert wurden, von Metasploits Autor HD Moore verwendet.

Gegenwärtig ist das Gegengift gegen die Cache-Vergiftung die Port-Randomisierung. Durch das Senden von DNS-Abfragen von verschiedenen Quellports wird es für einen Angreifer schwieriger zu erraten, an welchen Port vergiftete Daten gesendet werden sollen.

Dies ist jedoch nur eine teilweise Korrektur, warnte Liu. "Port randomization mildert das Problem, aber es macht keinen Angriff unmöglich", sagte er. "Es ist wirklich nur eine Notlösung auf dem Weg zum kryptografischen Prüfen, was die DNSSEC-Sicherheitserweiterungen tun.

" DNSSEC wird jedoch viel mehr Zeit in Anspruch nehmen, da es eine große Infrastruktur gibt - Schlüssel Verwaltung, Zonen-Signieren, Signieren von öffentlichen Schlüsseln und so weiter. Wir dachten, dass wir in diesem Jahr eine spürbare Akzeptanz bei DNSSEC sehen könnten, aber wir haben nur 45 DNSSEC-Datensätze von einer Million Stichproben gesehen. Letztes Jahr haben wir 44 gesehen. "

Liu sagte, dass die Umfrage positiv ausgefallen sei, zum Beispiel die Unterstützung von SPF, dem Sender Policy Framework, das E-Mail-Spoofing bekämpft in den letzten 12 Monaten von 12,6 Prozent der Zonen Stichproben auf 16,7 Prozent gestiegen.

Darüber hinaus ist die Anzahl der unsicheren Microsoft DNS-Server-Systeme mit dem Internet von 2,7 Prozent der Gesamtzahl auf 0,17 Prozent gesunken Diese Systeme könnten durchaus noch in Organisationen eingesetzt werden, aber es sei wichtig, dass "die Menschen davon abhalten, sie mit dem Internet zu verbinden."

Liu sagte, dass nur Organisationen mit einem bestimmten Bedarf an rekursivem DNS offen sind Server und die technische Fähigkeit, sie davon abzuhalten, überflutet zu werden, sollten sie ausführen.

"Ich würde es lieben zu sehen, wie viele offene rekursive Server ausfallen, denn selbst wenn sie gepatcht werden, sind sie großartige Verstärker für die Verweigerung -of-Service-Angriffe ", sagte er." Wir können nicht Befreien Sie sich von rekursiven Servern, aber Sie müssen nicht jedem erlauben, sie zu verwenden. "