Exploits für DNS-Schwachstellen veröffentlicht
Jetzt ist es wirklich an der Zeit zu patchen. Die Exploits wurden erfolgreich gegen BIND getestet. Einer der Exploits nutzt einen weiteren, bislang unbekannten Trick.
- Daniel Bachfeld
Jetzt ist es wirklich an der Zeit zu patchen: Für das DNS-Sicherheitsproblem sind zwei Exploits erschienen, die den Cache eines verwundbaren Resolvers manipulieren sollen. Zwar wurden die ersten erhellenden Details zu der bis dato verhüllten Lücke Anfang der Woche bekannt, offenbar gibt es aber noch einen weiteren Trick, um dem Opfer gefälschte Namensauflösungen unterzuschieben. So soll einer der Exploits nicht nur die Resource Records für eine bestimmte Adresse manipulieren können, sondern gleich den kompletten Eintrag für den zuständigen Nameserver einer Domain austauschen können. Damit hätte ein Angreifer nicht nur die Möglichkeit, eine bestimmte Adresse wie www.example.com auf seinen Server umzuleiten, sondern alle in der Domain example.com beheimateten Systeme.
Beide Angriffe beruhen aber auf der sogenannten Birthday-Attacke und zahlreichen belegten Transaktion-IDs sowie dem Einschleusen zusätzlicher Informationen in einer Antwort. Laut der äußerst sorgfältig kommentierten Exploits wurde der Code erfolgreich gegen BIND 9.4.1 und 9.4.2 getestet. Hinter den Exploits steht unter anderem der Autor des Exploit-Frameworks Metasploit H.D. Moore, der gegenüber US-Medien angegeben hat, dass das Tool ein bis zwei Minuten zum Vergiften eines Caches benötige. Kaminsky, der eigentliche Entdecker der Lücke, geht von wenigen Sekunden aus.
Für Betreiber der üblichen DNS-Server stehen die Updates diverser Hersteller seit dem 8. Juli bereit. Zwar weisen auch DSL-Router eine DNS-Funktion auf, allerdings cachen diese in der Regel nicht und arbeiten auch nicht rekursiv, sondern reichen eine Anfrage des Client an den Nameserver des Providers durch. Einzig Anwender des freien Router-Betriebssystems OpenWrt könnten in der Bredouille stecken, weil der Standard-DNS-Dienst dnsmasq laut eines Fehlerberichts für Cache-Poisoning verwundbar ist. Zwar löst das Update 2.43 das Problem, enthält aber aufgrund der Eile des Fixes einen Fehler, der bei bestimmten DHCP-Paketen zum Absturz führt. Zudem dürften OpenWrt-Anwender und weitere Distributionen wie DD-Wrt nicht so schnell mit eigenen Paketen nachziehen. Glücklicherweise tritt das DNS-Problem nur auf, wenn die Option --query-port gesetzt ist. Ist sie nicht gesetzt, ist dnsmasq auch nicht verwundbar.
Siehe dazu auch:
- CAU-EX-2008-0002, Exploit 1 von Computer Academic Underground
- CAU-EX-2008-0003, Exploit 2 von Computer Academic Underground
- Details zum DNS-Sicherheitsproblem veröffentlicht, Meldung auf heise Security
- Reaktionen auf DNS-Angriffszenario bei deutschen CERTS und Netzknoten, Bericht auf heise Security
- Massives DNS-Sicherheitsproblem gefährdet das Internet, Bericht auf heise Security
(dab)
