Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

24.07.2008

Angriffscode für DNS-Lücke veröffentlicht

Kurz nachdem Details zu einem Designproblem im Zentralregister des Internet versehentlich publik geworden waren, haben Forscher Exploit-Code veröffentlicht, mit dem sich Web-Nutzer heimlich auf beliebige Seiten umleiten lassen.

H. D. Moore, Entwickler des Exploit-Frameworks "Metasploit", und ein Hacker namens "l)ruid" haben den Angriffscode in zwei Teilen über diverse Mailing-Listen der Security-Gemeinde und die Website des Computer Academic Underground (CAU) veröffentlicht. Experten zufolge können Kriminelle mit Hilfe des Exploit-Codes unbemerkt Phishing-Attacken gegen Internet-Nutzer starten. Allerdings lasse sich der Angriffscode auch dazu nutzen, Web-Nutzer still und heimlich auf Software-Update-Server umzuleiten und von dort Malware auf die Opferrechner zu schleusen, warnt Zulfikar Ramizan, technischer Direktor bei Symantec. "Was die Sache so unheimlich macht: Der Endnutzer bemerkt davon möglicherweise nichts."

Der Sicherheitsforscher und Entdecker des Bugs Dan Kaminsky wollte die technischen Details zu der DNS-Schwachstelle ursprünglich bis zu der Sicherheitskonferenz Black Hat Anfang August unter Verschluss halten, um Netzadministratoren eine Schonfrist zum Patchen ihrer Systeme einzuräumen. Den Plan vereitelte ein versehentlich veröffentlichtes Blog-Posting eines in die Materie eingeweihten Sicherheitsanbieters, der die Hintergründe für das neue, auf DNS-Cache-Poisoning basierende Angriffsszenario nach dem Kaminsky-Konzept erläuterte - und damit dem Metasploit-Code den Weg ebnete.

Angriffe nur eine Frage der Zeit

Von besonderer Tragweite ist die Designschwäche im Zentralregister des Internets für Unternehmensanwender und ISPs, die DNS-Server betreiben. Obwohl für das Gros der DNS-Systeme mittlerweile Sicherheits-Updates verfügbar sind, dürfte es noch dauern, bis die Patches die firmeninternen Testprozeduren durchlaufen haben und tatsächlich installiert sind. "Die meisten Unternehmen haben noch nicht gepatcht", berichtete Paul Vixie, President des BIND-Herstellers Internet Systems Consortium (ISC), noch vor kurzem. Laut Amit Klein, Chief Technology Officer (CTO) bei dem Sicherheitsunternehmen Trusteer, verwendet der "sehr echt wirkende" Metasploit-Code bislang noch undokumentierte Techniken. "Da der Exploit nun mal draußen ist und noch nicht alle DNS-Server aktualisiert wurden, dürfte es Angreifern gelingen, den Cache einiger ISPs zu vergiften", befürchtet der CTO. Das Problem: Die Attacken kämen möglicherweise nie ans Licht, wenn die Angreifer hinreichend sorgfältig arbeiteten und ihre Spuren sauber verwischten. (kf)