Erste Angriffe auf Nameserver beobachtet [Update]

Mehreren Hinweisen zufolge laufen bereits die ersten Attacken auf Nameserver im Internet, nachdem gestern die ersten Exploits aufgetaucht sind. Obwohl die Gefahr absehbar war, haben aber offenbar viele ISPs ihre Nameserver immer noch nicht gepatcht. Beispielsweise hat das österreichische CERT gestern einen Bericht veröffentlicht (PDF-Datei), wonach zwei Drittel der ISPs ihre rekursiv arbeitenden DNS-Server noch nicht auf den neuesten Stand gebracht haben. US-Medienberichten zufolge haben die großen US-Provider AT&T, BT und Time Warner sowie Bell Canada ihre Systeme ebenfalls noch nicht gesichert.

Ursache der Verzögerungen dürften die internen Abläufe zum Installieren von Updates sein. Üblicherweise wird ein Patch nicht "einfach mal so" installiert, sondern der Vorgang unterliegt einem Test- und Freigabeprozess, der selbst in dringenden Fällen mehrere Wochen in Anspruch nehmen kann. Ursprünglich war geplant, die Details erst zur Black-Hat-Konferenz im August zu veröffentlichen, womit die ISPs rund vier Wochen Zeit gehabt hätten.

Laut Dan Kaminsky, der gestern in einem Webinar Journalisten zu dem DNS-Problem Rede und Antwort stand, waren der Statistik seines Tests zufolge 52 Prozent der Nameserver verwundbar – anfangs sollen es 82 Prozent gewesen sein. Allerdings soll der von ihm zur Verfügung gestellte Test nicht immer zuverlässig arbeiten und unter Umständen Fehlalarm geben. Einen differenzierteren Test gibt es auf DNS-OARC, der die Zufälligkeit des Source-Ports und der Transaktion-IDs ermittelt.

Kaminsky betonte erneut, dass ein Angriff in unter zehn Sekunden machbar sei. Zudem wies er darauf hin, dass autorative Nameserver nicht verwundbar seien. Er stellte auch klar, dass es bei einem verwundbaren Server nichts bringe, die TTL hochzusetzen, da der Angriff diesen Schutz umgehe. Neben den Patches zum Schutz gibt es nun ein erstes Tool, das Cache-Poisoning-Attacken aufdecken kann. CacheAudit ist eine Sammlung mehrerer Python-Skripte, mit denen sich der Cache eines rekursiven DNS-Servers überwachen lassen soll.

Die einzig zuverlässige Methode, Cache-Poisoning-Angriffe langfristig abzuwehren, bleibt weiterhin DNSSEC. Die Internet Corporation for Assigned Names and Numbers (ICANN) hat diesbezüglich ein Dokument veröffentlicht, das einen Weg zur Implementierung von DNSSEC in die Root-Server aufzeigt. Bis Ende 2008 will man in der Lage sein, die Antworten der Root-Server digital zu signieren.

Einen kostenlosen Test zur Signierung der eigenen Domain stellt das Unternehmen IKS bereit. Dabei wird die Zone vom autoritiven Server geholt und ihm signiert wieder bereitgestellt. Auf diese Weise soll für die testweise Einführung von DNSSEC keine Einarbeitung in das Thema und keine Änderung der Abläufe und Werkzeuge notwendig sein. Details finden sich hier: Remote Signierung

Update: Mittlerweile hat auch Microsoft eine Sicherheitswarnung mit dem Titel Increased Threat for DNS Spoofing Vulnerability veröffentlicht, in dem die Redmonder dazu auffordern, den Patch in MS08-037 sofort zu installieren.

Siehe dazu auch:

• Apple ohne Patch für DNS-Lücke
• Exploits für DNS-Schwachstellen veröffentlicht
• Details zum DNS-Sicherheitsproblem veröffentlicht
• Reaktionen auf DNS-Angriffszenario bei deutschen CERTS und Netzknoten
• Massives DNS-Sicherheitsproblem gefährdet das Internet

(dab)