Viele DNS-Server weiterhin verwundbar

Der Sicherheitsexperte Dan Kaminsky hat Mitte Juli einen netzweiten Scan nach anfälligen Servern für das Domain Name System durchgeführt und dabei erstaunliche Ergebnisse erhalten. Er hat inzwischen 2,5 Millionen von schätzungsweise 9 Millionen im Internet aktiven DNS-Servern untersucht. Von diesen seien etwa 230.000 Maschinen -- also fast 10 Prozent -- möglicherweise anfällig für eine DNS-Cache-Poisoning-Attacke, davon 13.000 Systeme mit Sicherheit. Nach der Angriffswelle auf das DNS-System im März dieses Jahres zeigt das Ergebnis, dass zahlreiche Administratoren nicht reagiert und weiterhin unsichere Konfigurationen im Einsatz haben.

Die Anfälligkeit für DNS-Cache-Posioning ist einerseits auf veraltete, unsichere Softwareversionen des weit verbreiteten, kostenlosen Servers Berkeley Internet Name Domain (BIND) zurückzuführen. Die Entwickler warnen auf ihrer Homepage inzwischen sogar davor, in der so genannten Forward-Konfiguration BIND4 oder BIND8 einzusetzen, da diese in einem solchen Setup fehlerhaft arbeiten. Leider scheuen sich zahlreiche Administratoren vor dem zugegebenermaßen teils doch erheblichen Aufwand einer Umstellung auf BIND9. Andererseits sind aber auch Windows-DNS-Server betroffen, sofern diese nicht sauber konfiguriert sind. In der Forward-Konfiguration akzeptieren die betroffenen Server Antworten der vorgelagerten DNS, ohne die Inhalte zu filtern oder überprüfen -- diese können aber manchmal manipulierte Antworten weiterleiten.

Aus Anwendersicht stellt sich das Problem so dar, dass beispielsweise Anfragen für Webseiten auf beliebige Server umgeleitet werden können. Beim Aufruf der Microsoft-Website landet ein Benutzer dann zum Beispiel auf einer Seite, die versucht, ihm durch Lücken in den Webbrowsern Schadsoftware unterzuschieben. Über gut gefälschte Internetseiten, bei denen ein Benutzer glaubt, sich auf dem "sicheren" Original zu befinden, ließen sich den Anwendern Zugangsdaten, Kontoinformationen und ähnliches entlocken. Da helfen die sonst üblichen Tipps gegen Phishing rein gar nichts: Selbst wenn die Seiten über Bookmarks oder manuell eingegebene URLs angesurft werden, landet man auf der gefälschten Seite.

Kaminsky will die betroffenen Administratoren per E-Mail über die Anfälligkeit ihrer Systeme informieren -- bei mehreren hunderttausend zu versendenden E-Mails eine Sisyphus-Arbeit. Jeder Administrator, der DNS-Server in der Forwarding-Konfiguration betreibt, sollte daher seine Software-Versionen überprüfen und, falls noch nicht geschehen, gegebenenfalls die Forwarding-DNS-Server auf BIND9 umstellen beziehungsweise Windows-DNS-Server so konfigurieren, dass diese die erhaltenen Antworten sauber filtern. Sonst setzt der Administrator auf fahrlässige Art und Weise seine unwissenden Nutzer einem nicht zu unterschätzendem Risiko aus.

Siehe dazu auch: (dmk)

• Hintergründe zum DNS-Scan von DoxPara
• Vergiftetes DNS Hintergründe auf heise Security