Telekom hinkt mit DNS-Sicherheitspatch hinterher

Erste Systeme wurden laut Telekom zwar bereits gepatcht, wann aber alle Schwachstellen beseitigt sind, ist unklar. Betroffen sind teilweise auch 1&1-Kunden. Erste Angriffs-Tools biegen bereits Update-Services für Programme per Cache-Poisoning um.

In Pocket speichern vorlesen Druckansicht 183 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Nicht nur die US-amerikanischen ISPs haben Medienberichten zufolge ihre Nameserver noch nicht gepatcht, auch einige der großen deutschen Internet-Anbieter betreiben offenbar noch verwundbare Systeme. Bei Tests von heise Security zeigte sich, dass etwa Nameserver der Telekom und von Kabel Deutschland noch nicht gepatcht sind. Damit lassen sich die Caches der Nameserver manipulieren, sofern die Betreiber nicht weitere Sicherheitsmaßnahmen ergriffen haben und beispielsweise explizit die Caches ihrer Systeme mit speziellen Tools überwachen.

Nach Angaben von Telekom-Sprecher Domagala arbeite man zusammen mit dem Hersteller an der Lösung des Problems. Erste Systeme seien auch bereits gepatcht, den Rest wolle man nach weiteren Analysen aktualisieren, einen konkreten Zeitraum konnte Domagala jedoch nicht nennen. Der Patch-Verzug trifft aber nicht nur Kunden der Telekom. Auch Kunden von 1&1 und anderer Telekom-Reseller sind betroffen, da sie die Infrastruktur der Telekom teilweise mitbenutzen.

Andreas Maurer von 1&1 gab gegenüber heise Security indes an, dass seit dem 23. Juli alle rekursiv arbeitenden Nameserver von 1&1 gepatcht seien. Zudem nutze 1&1 Netze und Systeme von Arcor und QSC, die aber bereits reagiert und die Updates installiert haben. Auch Freenet ist nicht verwundbar. Grundsätzlich sind also nur Kunden der Telekom betroffen, dazu gehört auch Congstar.

Heute ist bereits ein Tool erschienen, mit dem Vandalen über gefälschte Update-Server versuchen können, die PCs von Opfern mit Schädlingen zu infizieren. Das Tool evilgrade vergiftet dazu den Cache laut Beschreibung mit falschen IP-Adressen für die Update-Server von Winzip, Winamp, Mac OS, OpenOffice, iTunes, die LinkedIn Toolbar, DAP (Download Accelerator), notepad++, speedbit und das Java-Plug-in für Browser. Wer versucht, seine Software zu aktualisieren, bekommt Malware untergeschoben. Damit gibt es neben den ersten in der vergangenen Woche gestarteten Angriffen schon gezielte Angriffe.

Aus Sicherheitsgründen empfehlen Dienstleister daher auch den ursprünglichen Tipp von Dan Kamsinsky zu befolgen, alternative Domain Name Systems wie OpenDNS zu nutzen. OpenDNS arbeitet wie ein den offiziellen Root-Nameservern vorgeschalteter Filter, der jedoch den anerkannten Namensraum nicht manipuliert. Die OpenDNS-Server sollen die Anfrage nach bekannten Phishing-Servern erkennen sowie Anwender auf Warnseiten umleiten und sind nach eigenen Angaben immun gegen die bekannten Cache-Poisoning-Angriffe.

Im Wesentlichen müssen alle rekursiv arbeitenden Caching Nameserver aktualisiert werden, autorative Systeme sind nicht verwundbar. Darüber hinaus erfordern auch DNS-Clients ein Update, weil sie prinzipiell ebenfalls angreifbar sind, aktuell aber noch nicht im Fokus stehen – was sich aber ändern kann. Zusätzlich sollten sich Administratoren anschauen, ob eine externe Firewall oder ein NAT-Router möglicherweise die Wirkungsweise des Patches zunichte macht und die zufälligen Ports des Nameservers für externe Verbindungen aus bestimmten Gründen nur über einen Port abwickelt.

Siehe dazu auch:

(dab)