Kaminsky veröffentlicht letzte Details zur DNS-Schwachstelle
Neben dem Angriff auf einen CNAME-Records ist es offenbar möglich, einem anfragenden Nameserver eine Antwort mit gefälschten Angaben für die Anfrage bei weiteren Namservern unterzujubeln.
- Daniel Bachfeld
Dan Kaminsky hat in seinem Black-Hat-Vortrag die letzten Details zu der vom ihm entdeckten Schwachstelle im Domain Name System enthüllt. Neben dem Angriff auf einen CNAME-Record ist es offenbar möglich, einem anfragenden Nameserver eine Antwort mit gefälschten Angaben für die Anfrage bei weiteren Nameservern unterzujubeln. Damit lässt sich nicht nur ein einzelner Adress-Eintrag im Cache manipulieren, sondern alle weiteren Anfragen an den Nameserver eines Angreifers umleiten.
Dabei macht sich der Angriff zunutze, dass ein rekursiv auflösender Nameserver von einem Nameserver zum nächsten weiterdelegiert wird, bis er schließlich den für die Domain zuständigen Nameserver erreicht hat. Dabei hat der Angreifer mehrfach die Gelegenheit, gespoofte Pakete an den Server des Opfers zu schicken. Es soll sogar möglich sein, die Nameserver für die Top-Level-Domains auf diese Weise anzugreifen. Erstmals war ein Hinweis auf diese alternative Angriffsart im Exploit von H.D.Moore aufgetaucht. Das könnte auch die unterschiedlichen Zeitangaben verschiedener Sicherheitsspezialisten erklären, wie lange es dauern soll, bis eine Cache-Poisoning-Attacke erfolgreich ist. Während einige Angaben im Minutenbereich lagen, betonte Kaminsky mehrfach, dass sein Angriff nur wenige Sekunden dauere.
Kaminsky geht in seinem aus 104 Seiten bestehenden Vortrag auch auf die Auswirkungen des DNS-Problems auf verschiedene Dienste wie Mail, SIP und andere ein. Zudem berichtete er über die Patch-Erfolge der Unternehmen – zumindest für Nordamerika. So sollen von den Fortune 500 bereits 70% die Patches auf ihren Mail-Servern installiert haben, 15 Prozent davon sollen aber noch Probleme mit NAT-Geräten an ihren Grenzen haben, die die Wirkung des Patches – die höhere Zufälligkeit des Source-Ports bei Anfragen – wieder zunichte machen. Bei anderen Serversystemen liege die Patch-Quote bei 61 Prozent, wobei hier knapp 22 Prozent mit NAT/PAT Probleme hätten.
Siehe dazu auch:
- Why So Serious, Vortrag von Kaminsky zum Download (ppt)
Zu den Hintergründen und aktuellen Entwicklungen beim Sicherheitsproblem im Domain Name System siehe:
- DNS-Sicherheitsproblem: Neue und vergessene Patches
- Apple schließt Schwachstelle in DNS-Server unter Mac OS X
- Patches gegen DNS-Schwachstellen bremsen Server aus
- Telekom hinkt mit DNS-Sicherheitspatch hinterher
- Apple ohne Patch für DNS-Lücke
- Erste Angriffe auf Nameserver beobachtet
- Exploits für DNS-Schwachstellen veröffentlicht
- Details zum DNS-Sicherheitsproblem veröffentlicht
- Reaktionen auf DNS-Angriffszenario bei deutschen CERTS und Netzknoten
- Massives DNS-Sicherheitsproblem gefährdet das Internet
(dab)
