8. Juli 2008
Angriffe auf die Caches von DNS Resolvern.
Zusammenfassung
Es wurde ein neuer Angriff auf die Integrität von Caches von
Nameservern bekannt, der das Einschleusen von falschen Daten deutlich
vereinfacht.
Für die meiste Nameserversoftware haben die Hersteller Updates
herausgegeben, die mittels "Source Port Randomization" die
Erfolgswahrscheinlichkeit dieses Angriffs minimieren.
Es wird
dringend empfohlen, diese Updates einzuspielen. Details zu
dem Angriff werden in den nächsten Wochen publik, und dann ist mit
massiven Angriffsversuchen zu rechnen.
Autoritative Nameserver sind davon nicht betroffen.
Beschreibung
Das Domain Name System sorgt für die Auflösung von Domainnamen zu IP
Adressen und anderen Adressierungsinformationen im Internet.
Recursive (Caching) Nameserver ("Resolver") nehmen Anfragen von
Clients entgegen, fragen die relevanten autoritativen Nameserver und
leiten die Antworten an die Kunden weiter. Antworten werden auch
zwischengespeichert und für andere Anfragen wiederverwendet.
Es ist seit längerem bekannt, dass sich diese Caches durch gezieltes
Fälschen von Antwortpaketen manipulieren lassen. Siehe etwa
draft-ietf-dnsext-forgery-resilience.
Das neu entdeckte Angriffsmuster reduziert den Aufwand für einen
erfolgreichen Angriff signifikant. Damit ist dies keine theoretische
Schwachstelle mehr; "cache poisoning" ist somit machbar geworden.
Es wurde daher notwendig, alle verfügbaren Verteidigungsmechanismen
einzusetzen, dazu gehört auch Source Port Randomization. Dieses
Feature wurde in der letzten Zeit in Nameserversoftware eingebaut.
Auswirkungen
Ein erfolgreichen Cache Poisoning Angriff führt dazu, dass der
Nameserver falsche Daten an seine Clients liefert. Ist der Nameserver
der eines grossen ISPs oder einer grösseren Organisation, so kann ein
einzelner erfolgreicher Angriff viele Clients betreffen.
Falsche DNS Antworten bewirken typischerweise, dass falsche IP
Adressen für nachfolgenden Verbindungen verwendet werden. Das kann
unter anderem folgende Auswirkungen haben:
- Denial of Service
Falls die falschen Adressen nicht antworten.
- Webbrowser werden auf falsche Webserver geleitet.
Ziele u.A.: phishing, malware Verteilung, Spionage,
Fehlinformationen, ...
- Ausgehende Mail wird an falsche Mailserver übergeben.
Ziele: Abfangen / Abhören von e-mail. Damit lassen sich auch manche
Verifikationsverfahren von Certification Authorities für X.509
Zertifikate angreifen.
- Webbrowser nutzen auf falsche Proxyserver
Ziel: Mitschneiden des Webverkehrs
- ...
Betroffene Systeme
Direkt alle recursive Nameserver, indirekt alle deren Clients da diese
den Antworten ihrer Nameserver vertrauen.
Abhilfe
Aktuelle Versionen von Nameserversoftware minimieren die Chancen eines
Angreifers. Ein Upgrade und das Aktivieren von Source Port Randomization
ist daher dringend angeraten.
Für BIND siehe:
http://www.isc.org/index.pl?/sw/bind/bind-security.php
http://www.debian.org/security/2008/dsa-1603
Für Microsoft siehe:
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx
Für Nominum CNS siehe:
http://nominum.com/asset_upload_file741_2661.pdf
Bei PowerDNS, MaraDNS und Unbound ist das schon jetzt Standard, es sind keine Updates nötig.
Update (2008/07/24)
Details zu diesem Angriff sind jetzt publik geworden, und Code zum Ausnutzen
der Schwachstelle wurde auch schon publiziert. Wir raten daher
dringendst,
die empfohlenden Updates einzuspielen.
CERT.at hat einen
Report über den Status der Absicherung der Nameserver veröffentlicht.
Informationsquelle(n):US-CERT Advisoryhttp://www.kb.cert.org/vuls/id/800113Securosis Bloghttp://securosis.com/2008/07/08/dan-kaminsky-discovers-fundamental-issue-in-dns-massive-multivendor-patch-released/