Massives DNS-Sicherheitsproblem gefährdet das Internet

Das US-CERT und andere Sicherheitsexperten warnen vor einem kritischen Design-Problem, das alle DNS-Implementierungen betrifft. Der Domain Name Service ist dafür zuständig, lesbare Namen wie www.heise.de in IP-Adressen wie 193.99.144.85 umzuwandeln, mit denen Computer umgehen können. DNS ist somit das Telefonbuch des Internet, ohne das gar nichts mehr geht; wer den DNS unter seine Kontrolle bringt, beherrscht das Internet.

Damit die Namensauflösung nicht für jede Netzwerkverbindung erneut erfolgen muss, speichern viele Systeme die Ergebnisse eine Zeit lang in einem Cache. Gelingt es einem Angreifer, in einen solchen Cache falsche Adressen einzuschleusen, könnte er damit beliebige Netzwerkverbindungen so umleiten, dass sie auf auf Systemen unter seiner Kontrolle landen. Damit wären ungeheure Phish-Züge möglich, bei denen im großen Stil Passwörter, Kreditkartendaten oder auch Zugangsdaten zum Online-Banking geklaut würden.

Das grundsätzliche Problem bei DNS ist, dass sich die Antworten auf Anfragen prinzipiell fälschen lassen. Deshalb verwenden aktuelle Systeme für jede Anfrage eine zufällig gewählte 16-bittige Transaktions-ID. Nur wenn die Antwort diese ebenfalls enthält, kommt sie vom richtigen Server; die Chance, dass ein Angreifer sie errät, ist vernachlässigbar klein. Amit Klein hat allerdings bereits mehrfach gezeigt, dass und wie sich Implementierungsfehler zum Beispiel beim eingesetzten Zufallszahlengenerator für DNS-Cache-Poisoning ausnutzen lassen.

Der Sicherheitswarnung des US-CERTs zu Folge hat der Sicherheitsexperte Dan Kaminsky jetzt jedoch eine allgemeine Methode entdeckt, den involvierten Zufall so weit zu reduzieren, dass sich Cache-Poisoning effektiv umsetzen lässt. Diese Methode beruht offenbar nicht auf einer fehlerhaften Implementierung sondern auf einem trickreichen Angriffsszenario, das die Chancen des Angreifers deutlich erhöht. Details dazu will Kaminsky erst auf der Blackhat Konfererenz im August enthüllen. Betroffen sind fast alle namhaften Hersteller einschließlich ISC dessen BIND der meisteingesetzte Server ist, Cisco und Microsoft.

Kaminsky benachrichtigte die Hersteller, die daraufhin aktualisierte Versionen ihrer Software entwickelten und koordiniert am 8. Juli veröffentlichten. Sie sollen die Hürden für den Angreifer wieder etwas höher legen. Dazu wählen sie unter anderem zufällige UDP-Quellports für ihre DNS-Anfragen. Allerdings betont ISC, dass letztlich nur die Erweiterung DNSSEC zuverlässig Abhilfe schafft. Da jedoch dessen Einführung nicht über Nacht zu bewerkstelligen ist, raten sie dringend zur Installation der aktuellen Updates.

Schon das koordinierte Vorgehen der sonst nicht sonderlich auf Zusammenarbeit bedachten Konkurenten, lässt die Bedeutung dieses Problems erahnen. Es steht zu befürchten, dass nun, nachdem die Katze einmal aus dem Sack ist, auch andere sehr schnell auf den Dreh kommen, wie Kaminsky die DNS-Server austrickst. Deshalb sollten alle Betreiber von DNS-Servern, die auch als Cache arbeiten, so schnell wie möglich Kontakt zum Hersteller der eingesetzten Software aufnehmen, um sich über den aktuellen Stand der Dinge und empfehlenswerte Schutzmaßnahmen zu informieren. Noch gibt es keinen Grund zur Panik, aber Eile ist durchaus geboten.

Siehe dazu auch:

• Reaktionen auf DNS-Angriffszenario bei deutschen CERTS und Netzknoten

• Multiple DNS implementations vulnerable to cache poisoning, Warnung des US-Cert
• DNS Cache Poisoning Issue, ISC Advisory zu BIND
• Multiple Vendor DNS Implementations Insufficient Entropy Vulnerability, Security Advisory von Cisco
• Sicherheitsanfälligkeiten in DNS können Spoofing ermöglichen, Microsoft Security Bulletin MS08-037

(ju)