48186

Angriffscode für DNS-Lücke veröffentlicht

24.07.2008 | 15:03 Uhr |

Jetzt ist geschehen, wovor sich diverse Sicherheitsexperten derzeit wohl am meisten gefürchtet haben: Für die kürzlich bekannt gewordene DNS-Lücke ist Angriffscode veröffentlicht worden. Mit Hilfe dieser Lücke sind Phishing-Angriffe möglich, die selbst vorsichtige Anwender ins Messer laufen lassen.

Entwickler des Metasploit Hacking-Toolkits haben einen Angriffscode für die kürzlich bekannt gewordene DNS-Lücke veröffentlicht. Sicherheitsexperten warnen in diesem Zusammenhang nun, dass dieser Code es Angreifern ermöglichen könnte, nahezu unentdeckbare Phishing-Attacken durchzuführen - zumindest dann, wenn die jeweiligen Internet Service Provider der Anwender ihre DNS-Server noch nicht gegen die Lücke gepatcht haben. Und das hat offenbar der Großteil der Provider noch nicht getan.

Doch nicht nur Phishing-Angriffe sind denkbar, erklärt Zulfikar Ramizan, technischer Direktor bei Symantec. Angreifer könnten über die Lücke Anwender auch auf nachgemachte Software-Update-Server umleiten und Malware auf den Rechnern installieren. "Was die ganze Sache wirklich furchterregend macht, ist, dass der Endanwender davon überhaupt nichts mitbekommen würde"; sagt Ramizan.

Die DNS-Lücke wurde in Juli vom Sicherheitsexperten Dan Kaminsky entdeckt, vor wenigen sind dann versehentlich technische Details dazu im Internet veröffentlicht worden . Dies hat letztlich offenbar den Metasploit-Code erst ermöglicht. Kaminsky hat zuvor mehrere Monate mit den großen Anbietern von DNS-Software, darunter Microsoft, Cisco und dem Internet Systems Consortium (ISC), zusammengearbeitet, um einen Patch für die Lücke zu entwickeln. Dieser steht seit dem 8. Juli bereit, doch noch längst nicht alle Service Provider haben den Fix auf allen DNS-Servern installiert. "Die meisten haben noch nicht gepatcht", sagte ISC-Präsident Paul Vixie. "Das ist ein gigantisches Problem für die ganze Welt."

Bei der neuen Angriffs-Methode handelt es sich um eine Variante der so genannten "Cache poisoning attack". Dabei geht es darum, wie DNS-Clients und -Server Informationen von anderen DNS-Servern verarbeiten. Sollte beispielsweise ein DNS-Server die IP-Adresse für einen bestimmten Computer nicht kennen, fragt er diese Information bei einem anderen DNS-Server nach. Mit Hilfe von Cache poisoning können Angreifer DNS-Software derart manipulieren, dass sie legitime Domains, beispielsweise www.pcwelt.de, mit einer falschen, in diesem Fall bösartigen IP-Adresse verknüpfen. Bei Kaminskys Methode wurde diese Angriffsart noch erweitert, genauer um den "Additional Resource Record". Diese Daten machen die Methode weitaus mächtiger, so Sicherheitsexperten.

So könnte ein Angreifer beispielsweise eine Attacke auf die Domain Name Server eines ISPs starten und Redirects zu bösartigen Servern einrichten. Auf diese Weise würden Kunden von ISP A bei der Eingabe von "www.citibank.com" nicht zur Bank, sondern auf den Phishing-Server des Angreifers geleitet werden. Je nachde, wie gut die Phishing-Site nachgemacht ist, könnten Endanwender kaum noch erkennen, dass sie sich nicht am richtigen Ort befinden.

Der Code von Metasploit sieht "sehr echt" aus, erklärte Amit Klein, CTO bei Trusteer. Zudem würden Techniken verwendet, die so noch nicht dokumentiert seien. "Nun, da der Exploit veröffentlicht worden ist, kombiniert mit der Tatsache, dass noch nicht alle DNS-Server aktualisiert wurden, könnten Angreifer in der Lage sein, einige ISPs zu attackieren", sagte Klein in einem Interview mit dem IDG News Service. "Das Dumme daran ist, dass wir vielleicht niemals etwas über solche Angriffe erfahren werden, wenn die Urheber vorsichtig sind und ihre Spuren sauber verwischen."

0 Kommentare zu diesem Artikel
48186