computerwoche.de

Archiv

Angriffscode für DNS-Lücke veröffentlicht

24.07.2008
Kurz nachdem Details zu einem Designproblem im Zentralregister des Internet versehentlich publik geworden waren, haben Forscher Exploit-Code veröffentlicht, mit dem sich Web-Nutzer heimlich auf beliebige Seiten umleiten lassen.

H. D. Moore, Entwickler des Exploit-Frameworks "Metasploit", und ein Hacker namens "l)ruid" haben den Angriffscode in zwei Teilen über diverse Mailing-Listen der Security-Gemeinde und die Website des Computer Academic Underground (CAU) veröffentlicht. Experten zufolge können Kriminelle mit Hilfe des Exploit-Codes unbemerkt Phishing-Attacken gegen Internet-Nutzer starten. Allerdings lasse sich der Angriffscode auch dazu nutzen, Web-Nutzer still und heimlich auf Software-Update-Server umzuleiten und von dort Malware auf die Opferrechner zu schleusen, warnt Zulfikar Ramizan, technischer Direktor bei Symantec. "Was die Sache so unheimlich macht: Der Endnutzer bemerkt davon möglicherweise nichts."

Der Sicherheitsforscher und Entdecker des Bugs Dan Kaminsky wollte die technischen Details zu der DNS-Schwachstelle ursprünglich bis zu der Sicherheitskonferenz Black Hat Anfang August unter Verschluss halten, um Netzadministratoren eine Schonfrist zum Patchen ihrer Systeme einzuräumen. Den Plan vereitelte ein versehentlich veröffentlichtes Blog-Posting eines in die Materie eingeweihten Sicherheitsanbieters, der die Hintergründe für das neue, auf DNS-Cache-Poisoning basierende Angriffsszenario nach dem Kaminsky-Konzept erläuterte - und damit dem Metasploit-Code den Weg ebnete.

Angriffe nur eine Frage der Zeit

Von besonderer Tragweite ist die Designschwäche im Zentralregister des Internets für Unternehmensanwender und ISPs, die DNS-Server betreiben. Obwohl für das Gros der DNS-Systeme mittlerweile Sicherheits-Updates verfügbar sind, dürfte es noch dauern, bis die Patches die firmeninternen Testprozeduren durchlaufen haben und tatsächlich installiert sind. "Die meisten Unternehmen haben noch nicht gepatcht", berichtete Paul Vixie, President des BIND-Herstellers Internet Systems Consortium (ISC), noch vor kurzem. Laut Amit Klein, Chief Technology Officer (CTO) bei dem Sicherheitsunternehmen Trusteer, verwendet der "sehr echt wirkende" Metasploit-Code bislang noch undokumentierte Techniken. "Da der Exploit nun mal draußen ist und noch nicht alle DNS-Server aktualisiert wurden, dürfte es Angreifern gelingen, den Cache einiger ISPs zu vergiften", befürchtet der CTO. Das Problem: Die Attacken kämen möglicherweise nie ans Licht, wenn die Angreifer hinreichend sorgfältig arbeiteten und ihre Spuren sauber verwischten. (kf)