computerwoche.de

Security

Höchste Zeit für's Patchen

Angriffscode für DNS-Lücke veröffentlicht

24.07.2008
Von Katharina Friedmann
Wie zu erwarten haben Hacker inzwischen Exploit-Code für die vor kurzem gemeldete gravierende Designschwäche im Zentralregister des Internet veröffentlicht. Web-Nutzer, deren Internet Service Provider (ISP) ihre DNS-Server (Domain Name System) noch nicht gepatcht haben, sind damit einem erhöhten Phishing-Risiko ausgesetzt.

Der Angriffscode wurde gestern von Entwicklern des Hacker-Toolkits Metasploit veröffentlicht. Experten zufolge können Kriminelle mit Hilfe des Exploits praktisch unbemerkt Phishing-Attacken gegen Internet-Nutzer starten. Allerdings lässt sich der Angriffscode auch dazu nutzen, Web-Nutzer still und heimlich auf Software-Update-Server umzuleiten und von dort Malware auf die Opferrechner zu schleusen, warnt Zulfikar Ramizan, technischer Direktor bei Symantec. "Was die Sache so unheimlich macht: Der Endnutzer bemerkt davon möglicherweise nichts."

Dan Kaminsky, Sicherheitsforscher bei IOActive und Entdecker des Bugs, wollte die technischen Details zu der DNS-Schwachstelle eigentlich bis zu der US-Sicherheitskonferenz Black Hat Anfang August unter Verschluss halten, um Netzadministratoren noch eine Schonfrist zum Patchen ihrer Systeme zu gewähren. Den Plan vereitelte ein versehentlich veröffentlichtes Blog-Posting des Sicherheitsanbieters Matasano, das die Hintergründe für das neue, auf DNS-Cache-Poisoning basierende Angriffsszenario nach dem Kaminsky-Konzept erläuterte - und damit dem Metasploit-Code den Weg ebnete.

Von besonderer Tragweite ist die Designschwäche im DNS für Unternehmensanwender und ISPs, die DNS-Server betreiben. Obwohl mittlerweile für das Gros der DNS-Systeme Sicherheits-Updates verfügbar sind, kann es noch dauern, bis die Patches die firmeninternen Testprozeduren durchlaufen haben und tatsächlich installiert sind. "Die meisten Unternehmen haben noch nicht gepatcht", berichtete Paul Vixie, President des BIND-Herstellers Internet Systems Consortium (ISC), noch zu Beginn dieser Woche. Laut Amit Klein, Chief Technology Officer (CTO) bei dem Sicherheitsunternehmen Trusteer, verwendet der "sehr echt wirkende" Metasploit-Code bislang undokumentierte Techniken. Aus Sicht des Experten ist es wahrscheinlich, dass der Code bei Angriffen zum Einsatz kommt. "Da der Exploit nun mal draußen ist - und noch nicht alle DNS-Server aktualisiert wurden - dürfte es Angreifern gelingen, den Cache einiger ISPs zu vergiften", befürchtet der CTO. Das Problem sei, dass diese Attacken möglicherweise nie ans Licht kämen, wenn die Angreifer sorgfältig arbeiteten und ihre Spuren sauber verwischten.