Exploit für Schwachstelle in Nameserver BIND9 veröffentlicht
Phisher können ihn für Pharming-Angriffe auf Anwender nutzen, um die Zuordnung eines Servernamens zu einer IP-Adresse zu manipulieren. Betreiber von BIND9 sollten nun schleunigst die fehlerbereinigte Version installieren.
- Daniel Bachfeld
Auf dem Exploit-Portal Milw0rm ist ein Programm erschienen, das in der Lage ist, die kürzlich im Nameserver BIND9 gemeldete Schwachstelle auszunutzen. Darüber ist es möglich, so genannte Transaction-IDs relativ leicht vorherzusagen respektive zu erraten und somit einem verwundbaren Nameserver den Cache zu vergiften. Phisher nutzen Cache Poisoning für Pharming-Angriffe auf Anwender, bei der die Zuordnung eines Servernamens zu einer IP-Adresse manipuliert wird. Selbst wenn ein Anwender etwa händisch den Namen seiner Bank in der Adresszeile seines Browser eingibt, landet er trotzdem auf einer gefälschten Seite.
Um den Cache eines Nameservers zu manipulieren, muss der Angreifer aber selbst einen "authorative" Nameserver unter seiner Kontrolle haben. Entweder hat er dazu einen Server gehackt oder er verwaltet einen Server für eine eigene Domain. Betreiber von BIND9 sollten nun schleunigst die fehlerbereinigte Version installieren, um ihre Anwender zu schützen. Amit Klein, der die Lücke entdeckte, schätzt, dass rund die Hälfte aller Nameserver mit BIND9 läuft und die jüngste Schwachstelle daher potenziell das gesamte Internet betrifft.
Siehe dazu auch:
- Lücke im Bind-Name-Server hat weitreichende Auswirkungen, Meldung auf heise Security
- DNS Cache Poison v0.3beta by posedge, Exploit auf Milw0rm
(dab)
