DNS Cache Poisoning: Erste Angriffe mit neuartigem Exploit

Die ersten Angriffe auf zahlreiche DNS-Server (Domain Name System) wurden vor mehr als einer Woche öffentlich. Einer Studie zufolge wird dabei am häufigsten das Exploit aus dem Metasploit Framework verwendet. HD Moore, Chefentwickler von Metasploit, hat nun eine gänzliche neue Variante des DNS-Exploits ausfindig machen können. Paradoxerweise wurde Moores Unternehmen kürzlich selbst zum Opfer eines modifizierten DNS-Eintrags, der für die Weiterleitung auf eine getürkte Google-Webseite verantwortlich war. Allerdings geht dieser Vorfall auf einen mit gefälschten Informationen versorgten Server beim Telekommunikationskonzern AT&T zurück. Ein weitreichender Schlag für den Angreifer, schließlich versorgt der Server weiträumig das Gebiet um Texas.

Aus einer umfassenden Partnerarbeit zwischen HD Moore und dem im Internet bekannten "I)ruid" ging die Metasploit-Variante des Exploits hervor. Viele Unternehmen haben seitdem mehrere Angriffe auf die "Cache-Poisoning-Schwachstelle" verzeichnen müssen. Nun scheint die Zeit für ein weiteres, bislang "in the wild" nicht gesehenes DNS Exploit reif zu sein.

Kein Geringerer als Moore selbst war es, der einen manipulierten DNS-Server bei der Telefongesellschaft AT&T entdeckte. Auf den Hinweis seiner Mitarbeiter, dass die Google-Startseite etwas merkwürdig wäre, ging er der Sache genauer nach. Nach umfassender Recherche kam er zu dem Ergebnis, es handle sich mit Gewissheit nicht um einen Angriff der mit dem Metasploit oder einem anderen der public Exploits durchgeführt wurde. Eine Tatsache, die ihn natürlich sehr neugierig gemacht hat: "Wir sind sehr daran interessiert herauszufinden, wo dieses Exploit seine Wurzeln hat. Es ist anzunehmen, dass in Zukunft solche Angriffe an Phishing-Attacken gekoppelt sind."

AT&T hat prompt auf diesen Vorfall reagiert und den besagten Server vom Netz genommen. Bislang gibt es kein Indiz dafür, dass es sich um eine Malware- oder Phishingattacke gehandelt hat. Stattdessen wurde dem Besucher eine breites Masse an versteckten iFrames und die darin befindliche Werbung geboten. Das Bedeutendste bei der Problematik um die DNS-Server sieht Moore darin, dass aktuell noch immer zu viele Server angreifbar sind. Viele Unternehmen haben es in seinen Augen versäumt, einen der wichtigsten Patches zu installieren. Seinen Berechnungen zufolge sind aktuell 75 Prozent aller im Internet aktiven Server zur Namensauflösung angreifbar. Alleine das Telekommunikationsunternehmen AT&T verfügt aktuell über 19 DNS-Server im Online-Betrieb. 12 davon verwenden noch immer statische Ports und bieten somit eine optimale Angriffsfläche für das "cache poisoning". (gS-)

(via computerworld.com, thx!)

News Redaktion am Donnerstag, 31.07.2008 09:46 Uhr

tags Tags: microsoft provider patch hacker exploit schwachstelle sicherheitslücke hotfix dns at&t domain name system cache poisoning metasploit update

Weitere interessante News

6 Reaktionen zu dieser Nachricht

gS- am 31.07.2008 18:41:41

war es denn nicht auch kein geringerer als moore selbst, der diese poisoning exploits entdeckt hat und diese informationen jedem zugänglich gemacht hat?! zumindest habe ich es so in erinnerung cOlz.de du hast es erfasst ! Kein geringerer als Moore selbst und sein hax0r-Kol ...
cOlz.de am 31.07.2008 15:11:04

war es denn nicht auch kein geringerer als moore selbst, der diese poisoning exploits entdeckt hat und diese informationen jedem zugänglich gemacht hat?! zumindest habe ich es so in erinnerung ...
Frazze am 31.07.2008 13:57:09

"uncompilierten C oder Assembler Code" rofl .... dumm ausgedrückt :D aber ich weiß was du meisnt :P :D ...
SubData am 31.07.2008 12:57:11

Die Informationen sollen auch frei bleiben, nur sollte man die Kinder ein wenig daran hindern, diese auch sofort nutzen zu können. Veröffentliche nen uncompilierten C oder Assembler Code und du bist mindestens 50% der Kinder los, weil sie noch nichtmal wissen, was ein Compiler ist... ...
limlug am 31.07.2008 11:37:58

Das widerspricht allerdings einem existeziellen Grundgedanken: "Informationen sind frei". Wenn man so weiter denkt gibt es dann demnächst nur noch aktuelle Exploits in spezieelen Onlineshops zu kaufen? ...

weitere Kommentare lesen Nachricht kommentieren

Fotostrecke

News [Kurioses]

Apple filterte den Begriff "Jailbreak" im iTunes Store

Lars Sobiraj am 20.05.2012, 16:54 Uhr

Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.

mehr mehr lesen...