24. Juli 2008
Angriffscode wurde veröffentlicht --
CERT.at publiziert Bericht zur DNS-Sicherheitslage in Österreich
Zusammenfassung
Schwerwiegende Sicherheitslücke im Domain Name System (DNS) des
Internets entdeckt und automatisiert angreifbar geworden. CERT.at
empfiehlt, rekursive DNS Server
jetzt zu aktualisieren.
Die Diskussion um Dan Kaminsky's Entdeckung einer schwerwiegenden
Schwachstelle im DNS System hat eine neue Wendung bekommen: während
noch vor kurzem davon auszugehen war, dass Internet Service Provider
(ISPs) und Firmen bis zum 6.August Zeit hatten, ihre rekursiven
DNS Server zu patchen, verkürzte sich diese Zeitspanne nunmehr auf "bis
gestern" nachdem
Matasano die Details zu dem Angriff
veröffentlichte. Wenig später nur war der Angriff schon automatisiert
in
Metasploit implementiert.
Untersuchungen von CERT.at zeigen,
dass etwa 2/3 der aller rekursiven DNS Server in Österreich derzeit verwundbar sind.
Update, 28. 7. 2008:
Aktuelle Daten zeigen zwar leichte Fortschritte, es sind aber
immer noch mehr als die Hälfte aller Server verwundbar.
Hintergrund
DNS (Domain Name System) ist das zentrale System im Internet, um eine
Zuordnung von domains (wie zB www.google.com) zu IP Adressen (Internet
Adressen) zu gewährleisten.
Die Schwachstelle im DNS System attackiert über sogenanntes "cache
poisoning" zentrale DNS Server. Angreifern ist es somit möglich, eine
gefälschte Antwort für DNS Anfragen in zentrale DNS Server
einzuschmuggeln.
Während ein Internet Bentuzer einfach nur auf die Seite
"www.meinebank.at" gehen will, kann der DNS Server schon eine falsche
Antwort in seinem Zwischenspeicher ("cache") haben und in Wirklichkeit
auf "www.boesercracker.com" zeigen. Der Internet Benutzer merkt hiervon
nichts.
CERT.at hat die Situation aller DNS Server in Österreich untersucht und
kommt zu dem Ergebniss, dass mind. zwei drittel aller DNS Server in
Österreich angreifbar sind.
Im Zusammenspiel mit der mittlerweile automatisierbarene
Angriffsmöglichkeit via Metasploit, möchten wir die Öffentlichkeit
eindringlich erinnern, sämtliche DNS Server auf neuere
Versionen aktualisieren.
Es wurde daher notwendig, alle verfügbaren Verteidigungsmechanismen
einzusetzen, dazu gehört auch Source Port Randomization. Dieses
Feature wurde in der letzten Zeit in Nameserversoftware eingebaut.
Abhilfe
Was kann gegen das Problem unternommen werden?
- Überprüfen Sie, ob der DNS Server,
den Sie verwenden angreifbar ist.
(Linux Benutzer können dies auch mit dig +short porttest.dns-oarc.net TXT machen)
- Falls Ihr DNS Server verwundbar ist, aktualisieren Sie ihn jetzt.
- Falls Sie den DNS Server nicht updaten können, informieren Sie
ihren Systemadministrator.
Informationsquelle(n):CERT.at advisoryhttp://cert.at/warnings/all/20080708.htmlBIND Nameserverhttp://www.isc.org/index.plLeak pastebinhttp://amd.co.at/dns.htmExploit veroeffentlichthttp://blogs.zdnet.com/security/?p=1545CERT reporthttp://www.cert.at/Cache poisoninghttp://de.wikipedia.org/wiki/Cache_PoisoningBind updateshttp://www.isc.org/sw/bind/Dan Kaminksy's DNS checker testhttp://www.doxpara.com/Dan Kaminsky's initialer Berichthttp://www.doxpara.com/?p=1162CERT.org Berichthttp://www.kb.cert.org/vuls/id/800113Leak pastebinhttp://amd.co.at/dns.htmexploit publishedhttp://blogs.zdnet.com/security/?p=1545Dan Kaminsky's testhttp://www.doxpara.com/background on hackers finding out *everything* if they want tohttp://searchsecurity.techtarget.com.au/articles/25718-What-we-can-all-learn-from-how-the-DNS-flaw-was-handled