Laut dem US-Computer Security Response Team (CERT) handelt es sich bei der Schwachstelle um ein grundsätzliches Sicherheitsproblem, das alle gängigen DNS-Implementierungen betrifft. Das für die Umwandlung von Host-Namen in für Computer lesbare IP-Adressen zuständige DNS fungiert als "Web-Adressbuch" und ist damit eine hochkritische Komponente für die Verbindung von Systemen via Internet.
Die von dem Sicherheitsforscher Dan Kaminsky entdeckte DNS-Schwäche soll es Angreifern ermöglichen, gefälschte DNS-Informationen in den Cache eines Name-Servers einzuschleusen und so ihre Opfer unbemerkt von legitimen auf bösartige Web-Seiten umzuleiten. Die zeitweise Ablage der Ergebnisse im Cache dient den Systemen dazu, nicht für jede Anfrage erneut die Namensauflösung vornehmen zu müssen. Eine vom Gros der Systeme genutzte, zufällig generierte 16 Bit lange Transaktions-ID für jeden Request soll derartige Manipulationen eigentlich verhindern. Sicherheitsexperten zufolge haben sich einige DNS-Implementierungen in der Vergangenheit allerdings dennoch als diesbezüglich verwundbar erwiesen. Mit Hilfe der als "Cache Poisoning" bekannten Angriffstechnik könnten Hacker Internet-Traffic im Prinzip nach Belieben auf die eigenen Server umleiten.
Kaminsky hat nun offenbar eine weitaus effektivere Methode gefunden, die die Erfolgschancen eines DNS-Cache-Poisoning-Angriffs erheblich erhöhen soll. Von besonderer Tragweite sei seine Entdeckung für Unternehmensanwender und ISPs (Internet Service Provider), die DNS-Server betreiben. Für Heimanwender sieht der Sicherheitsexperte hingegen keinen Grund zur Panik.
Nach der Entdeckung des Problems vor einigen Monaten hatte Kaminsky umgehend eine Gruppe von für DNS-Server zuständigen Sicherheitsexperten zusammengetrommelt, die sich seit Ende März um eine rasche Lösung bemühten. "Die einzige Möglichkeit war ein gleichzeitiges (Patch)Release über sämtliche Plattformen hinweg", berichtet Kaminsky.
Der Mammut-Bug-Fix, den das US-CERT als "das größte synchronisierte Security-Upgrade in der Geschichte des Internet" bezeichnet, wurde gestern in Form von Patches für die meistgenutzte DNS-Software veröffentlicht. Dazu zählen unter anderem Security-Upgrades von Microsoft, Cisco, Red Hat, Sun Microsystems und dem Internet Systems Consortium (ISC), das die derzeit auf rund 80 Prozent der DNS-Server eingesetzte Open-Source-Software BIND (Berkeley Internet Name Domain) herstellt. Für das Gros der BIND-Anwender handle es sich um ein simples Upgrade, beruhigt Joao Damas, Senior Program Manager bei ISC. Für geschätzte 15 Prozent hingegen, die noch nicht auf die jüngste Version, BIND 9, umgestiegen sind, dürfe sich die Angelegenheit allerdings etwas schwieriger gestalten.
Um Netzadministratoren für das Patchen ihrer Software noch etwas Zeit zu lassen, will Kaminsky das DNS-immanente Problem erst im August auf der US-Security-Konferenz Black Hat in Las Vegas detaillierter beschreiben.
Auf lange Sicht werden sich DNS-Cache-Poisoning-Attacken nur mit der Einführung der sichereren DNS-Version "DNSSEC" wirksam abwehren lassen, meint Danny McPherson, Chief Research Office bei Abor Networks. "Die aktuelle Lösung erschwert Angriffe zwar, löst aber nicht das grundsätzliche Problem." (kf)
