Hoch brisantes Leck in DNS-Software BIND 9

25.07.2007
Der Sicherheitsexperte Amit Klein warnt vor einem extrem gefährlichen Sicherheitsloch in dem populären DNS-Server "BIND 9". Ein Patch ist bereits verfügbar.

BIND (Berkeley Internet Name Domain) 9 wird vor allem von Internet-Dienstleistern und großen Unternehmen eingesetzt. Die Software läuft auf geschätzten 80 Prozent aller DNS-Server im Internet.

Wenn ein Browser von einem solchen Web-Server die Übersetzung einer URL in eine IP-Adresse anfordert, wird eine "zufällige" 16-bittige Transaktions-ID verwendet, um die Antwort des Servers zu verifizieren. Laut Klein, Chief Technology Officer der Sicherheitsfirma Trusteer, ist diese ID allerdings überhaupt nicht zufällig, sondern im Gegenteil äußerst vorhersehbar.

Kriminelle könnten diese Schwachstelle missbrauchen, indem sie im BIND-Cache manipulierte Informationen hinterlegen und so ahnungslose Surfer auf falsche Server umleiten ("Pharming"). Von dort könnten dann weitere Attacken ausgehen. Betroffen sind laut Klein alle BIND-9-Installationen mit Caching-Konfiguration. Das Caching ist meistens eingeschaltet, um die Leistung der DNS-Server zu erhöhen.

Seine Forschungsergebnisse hat Klein am Montag publik gemacht. Zeitgleich hat die Firma Internet Systems Consortium Inc., die BIND betreut, einen entsprechenden Patch veröffentlicht. "Die Attacke ist sehr machbar", bestätigt Johannes Ulrich, Chief Technical Officer des SANS Internet Storm Center. "Am besten patchen Sie ihren BIND-Server so schnell es geht."

Besorgniserregend ist das Problem vor allem deswegen, weil Desktop-Sicherheitssoftware dagegen vollkommen wirkungslos ist. Ein Angriff involviert weder den Rechner des Nutzers noch den eigentlichen DNS-Server, sondern lediglich die dort im Arbeitsspeicher abgelegten Cache-Daten. "Dies ist eine mächtige Attacke, weil sie die Sicherheit von BIND 9 fast auf den Stand von vor mehr als zehn Jahren zurückbefördert", bilanziert Klein. (tc)