DNS Cache Poisoning Erste Angriffe mit neuartigem Exploit

Die ersten Angriffe auf zahlreiche DNS-Server (Domain Name System) wurden vor mehr als einer Woche öffentlich. Einer Studie zufolge wird dabei am häufigsten das Exploit aus dem Metasploit Framework verwendet. HD Moore, Chefentwickler von Metasploit, hat nun eine gänzliche neue Variante des DNS-Exploits ausfindig machen können. Paradoxerweise wurde Moores Unternehmen kürzlich selbst zum Opfer eines modifizierten DNS-Eintrags, der für die Weiterleitung auf eine getürkte Google-Webseite verantwortlich war. Allerdings geht dieser Vorfall auf einen mit gefälschten Informationen versorgten Server beim Telekommunikationskonzern AT&T zurück. Ein weitreichender Schlag für den Angreifer, schließlich versorgt der Server weiträumig das Gebiet um Texas.

Aus einer umfassenden Partnerarbeit zwischen HD Moore und dem im Internet bekannten "I)ruid" ging die Metasploit-Variante des Exploits hervor. Viele Unternehmen haben seitdem mehrere Angriffe auf die "Cache-Poisoning-Schwachstelle" verzeichnen müssen. Nun scheint die Zeit für ein weiteres, bislang "in the wild" nicht gesehenes DNS Exploit reif zu sein.

Kein Geringerer als Moore selbst war es, der einen manipulierten DNS-Server bei der Telefongesellschaft AT&T entdeckte. Auf den Hinweis seiner Mitarbeiter, dass die Google-Startseite etwas merkwürdig wäre, ging er der Sache genauer nach. Nach umfassender Recherche kam er zu dem Ergebnis, es handle sich mit Gewissheit nicht um einen Angriff der mit dem Metasploit oder einem anderen der public Exploits durchgeführt wurde. Eine Tatsache, die ihn natürlich sehr neugierig gemacht hat: "Wir sind sehr daran interessiert herauszufinden, wo dieses Exploit seine Wurzeln hat. Es ist anzunehmen, dass in Zukunft solche Angriffe an Phishing-Attacken gekoppelt sind."

AT&T hat prompt auf diesen Vorfall reagiert und den besagten Server vom Netz genommen. Bislang gibt es kein Indiz dafür, dass es sich um eine Malware- oder Phishingattacke gehandelt hat. Stattdessen wurde dem Besucher eine breites Masse an versteckten iFrames und die darin befindliche Werbung geboten. Das Bedeutendste bei der Problematik um die DNS-Server sieht Moore darin, dass aktuell noch immer zu viele Server angreifbar sind. Viele Unternehmen haben es in seinen Augen versäumt, einen der wichtigsten Patches zu installieren. Seinen Berechnungen zufolge sind aktuell 75 Prozent aller im Internet aktiven Server zur Namensauflösung angreifbar. Alleine das Telekommunikationsunternehmen AT&T verfügt aktuell über 19 DNS-Server im Online-Betrieb. 12 davon verwenden noch immer statische Ports und bieten somit eine optimale Angriffsfläche für das "cache poisoning".  (gS-)

(via computerworld.com, thx!)

• 6 Kommentare zum Artikel

Die Informationen sollen auch frei bleiben, nur sollte man die Kinder ein wenig daran hindern, diese auch sofort nutzen zu können. Veröffentliche nen uncompilierten C oder Assembler Code und du bist mindestens 50% der Kinder los, weil sie noch nichtmal wissen, was ein Compiler ist...

SubData am 31.07.2008 12:57

"uncompilierten C oder Assembler Code" rofl .... dumm ausgedrückt aber ich weiß was du meisnt :P

Frazze am 31.07.2008 13:57

war es denn nicht auch kein geringerer als moore selbst, der diese poisoning exploits entdeckt hat und diese informationen jedem zugänglich gemacht hat?! zumindest habe ich es so in erinnerung

cOlz.de am 31.07.2008 15:11

Zitat: Zitat von cOlz.de  war es denn nicht auch kein geringerer als moore selbst, der diese poisoning exploits entdeckt hat und diese informationen jedem zugänglich gemacht hat?! zumindest habe ich es so in erinnerung cOlz.de du hast es erfasst ! Kein geringerer als Moore selbst und sein hax0r-Kollege I)ruid waren es, die an der Ausarbeitung führend waren ! Interessant hierbei, dass das Exploit, ...

gS- am 31.07.2008 18:41

[...] Diskussion lesen oder Artikel kommentieren