Neue DNS-Poisoning-Welle im Gang
Eine unbedacht geöffnete HTML-E-Mail lässt Browser unverhofft Werbung für eine Medikamentenquelle im Internet anzeigen.
Seit einigen Tagen läuft anscheinend eine neue Pharming-Welle. Diesmal versuchen die Hintermänner alle Browser-Aufrufe von .com-Adressen auf ihre Web-Site umzuleiten, auf der sie verschreibungspflichtige Medikamente verkaufen. Auslöser der Zwangsumleitung kann schon eine HTML-E-Mail mit einem Link zu einer externen Grafikdatei sein, die auf einem Server der Hintermänner liegt. Die Frage nach der IP-Adresse für die Grafik beantwortet der DNS-Server korrekt, versucht aber, dem anfragenden DNS-Server über zusätzliche Antwortfelder in seinem Reply einen neuen Root-Eintrag für .com unterzujubeln. Glückt das, installiert er sich damit als Namensauflöser für alle auf .com endenden Adressen. Auch Banner-Werbung und selbst schon eine E-Mail an einen nicht-existenten Nutzer der eigenen Domain können die Umleitung anstoßen.
Anfällig für den Poisoning-Angriff ist laut dem Internet Storm Center unter anderem der in den Server-Ausgaben von Windows NT4 und 2000 integrierte DNS-Server in Standardeinstellung, nicht aber jener in neueren Windows-Versionen. Microsofts Knowledgebase beschreibt, wie man NT4 und 2000 per Registry-Eintrag gegen den Angriff immunisiert. Vor einigen Tagen gab Symantec ein Update für seine Firewall-Produkte heraus, die ebenfalls für Pharming-Attacken anfällig waren. (ea)
