93666

Metasploit-Gründer Opfer einer DNS-Attacke

01.08.2008 | 09:48 Uhr |

Die kürzlich bekannt gewordenen DNS-Angriffsmöglichkeiten haben ein prominentes Opfer gefunden. Der Sicherheitsforscher HD Moore und seine Firma sind auf eine gefälschte Google-Site umleitet worden.

Die Angriffe auf noch nicht hinreichend geschützte DNS-Server haben das Stadium einer theoretischen Bedrohung längst hinter sich gelassen. Das Metasploit-Projekt , das ein modulares System zur Testen auf bekannte Sicherheitslücken anbietet, hat auch ein Modul für solche DNS-Angriffe . Jetzt hat den Metasploit-Protagonisten HD Moore selbst erwischt. Bei seiner Firma BreakingPoint sind Teile des Internet-Verkehrs durch einen solchen Angriff umgeleitet worden.

Der Nameserver innerhalb des Firmennetzwerks leitet DNS-Anfragen der Firmenrechner an einen Nameserver des Providers AT&T weiter. Dieser ist offenbar noch nicht mit den neuesten Sicherheits-Updates ausgestattet und daher anfällig für so genannte "Cache-Poisoning-Attacken". Dabei wird der Zwischenspeicher (Cache), aus dem ein Nameserver wiederholte Anfragen bedient, um nicht jedes Mal selbst eine Anfrage an einen in der Hierarchie höheren Server senden zu müssen, mit falschen Daten vergiftet.

Die Mitarbeiter bei BreakingPoint bekamen statt der gewohnten Google-Seite eine aus Frames bestehende Seite zu sehen, auf die Google Suchmaske von Werbebannern umgeben war. Der anfällige Nameserver von AT&T hatte statt der IP-Adresse von Google eine zu einem Server der Angreifer gehörende zurück geliefert, sodass die Browser auf diesen Server umgelenkt wurden.

HD Moore hat es mit einer Prise Humor aufgenommen, dass ausgerechnet er eines der ersten Opfer eines solchen Angriffs geworden ist: "I got owned." Das ist Hacker-Sprache - "owned" (oder auch "pwned") bedeutet, dass man unter fremde Kontrolle geraten ist.

Für Internet-Provider ist das alles nicht so lustig. Sie müssen zahllose Nameserver in ihren Netzen mit den Anfang Juli von den Herstellern bereit gestellten Updates versorgen, ohne dass es zu Engpässen kommt. Auch Microsoft hat im Rahmen seines regulären Patch Day am 8. Juli entsprechende Updates (MS08-037) für Windows veröffentlicht.

Dies hatte etwa bei Nutzern der Desktop-Firewall ZoneAlarm zum Problemen mit der Internet-Verbindung geführt , weil ZoneAlarm-Hersteller Checkpoint erst nach dem Patch Day eine neue Version von ZoneAlarm (7.0.483) bereit gestellt hat, die mit dem veränderten Verhalten des DNS-Clients von Windows zurecht kommt.

Erfolgreiche DNS-Attacken können für Phishing-Angriffe genutzt werden oder auch die automatischen Software-Updates installierter Programme zum Download von Malware missbrauchen . Sie sollten daher die Updates für Windows installieren und prüfen, ob Ihr Internet-Provider seine Nameserver bereits aktualisiert hat. Dafür können Sie das Programm "DnsTester" verwenden, das der Antivirushersteller Panda Security kostenlos anbietet .

0 Kommentare zu diesem Artikel
93666