DNS Patch Update bringt nicht die erhoffte Sicherheit

Jeder Betreiber der sich den aktuellen Domain Name System (DNS) Patch auf seinem System installiert hat und sich in Sicherheit wiegt, hat weit gefehlt. Für die als "Cache Poisoning" bezeichnete Schwachstelle sind aktuell mehrere öffentliche und private Exploits im Umlauf. Sollte eine dieser Attacken glücken, wäre es einem Angreifer möglich, den ahnungslosen Besucher auf eine andere Webseite umzuleiten oder sensible Daten abzufangen. Bislang herrschte die weit verbreitete Meinung, dass der Sicherheits-Patch die lang erwartete und endgültige Abhilfe bringen sollte. Einem russischen Physiker ist nun gelungen, auch im Sicherheits-Update eine Schwachstelle ausfindig zu machen.

Die neusten Nachrichten des russischen Physikers Evgeniy Polyakov heizen die Diskussionen bezüglich des "Cache Poisonings" erneut an. Polyakov behauptet, dass der Patch bei Weitem nicht so sicher sei, wie bislang angenommen. In Wirklichkeit soll die Lücke auch nach der Installation des Updates noch immer angreifbar sein. Zu dieser Erkenntnis kam er während einer zehnstündigen Arbeit. Diese Tatsache sollte verdeutlichen, wie schnell es manchen Black-Hats gelingen könnte, einen eigenen Weg zu finden und auch vermeintlich sichere Systeme zu attackieren.

Dan Kaminsky war es, der die Lücke ursprünglich ausfindig machen konnte. Auf der diesjährigen Black Hat Con hat er verlauten lassen, dass jedes Netzwerk großen Gefahren ausgesetzt ist. Es sei denn, der Security-Patch wird installiert. Doch wie sich nun herausstellt, ist der Patch an sich nicht so sicher wie bislang angenommen. Dadurch erlangt die Bedrohung nun ein komplett anderes Ausmaß und es ist nur noch eine Frage der Zeit, bis die virtuellen Finsterlinge einen weiteren Weg zu den DNS-Servern finden werden.

Evgeniy Polyakov macht seine Erkenntnisse in einem Experiment deutlich. Darin zeigt er auf, wie zwei gehackte Server über eine Gigabit-Leitung 40.000 bis 50.000 gefälschte Antworten versenden, bevor ein Remote-Server auch nur eine Antwort versenden kann. Seiner Meinung nach handelt es sich dabei um eine Erfolgschance von rund 60 Prozent: "Sollte es in einem Gigabit-Netzwerk nur einen einzigen Rechner geben, auf dem ein Angreifer die Kontrolle hat, so könnte dieser in nur wenigen Stunden den DNS verschmutzen."

Offiziellen Schätzungen zufolge wurde der Patch bereits weitläufig aufgespielt. Es stellt sich nun jedoch die berechtigte Frage, ob sich die User nun in Sicherheit wiegen können. Polyakov und weitere Sicherheitsexperten verneinen diese Tatsache. Wann es das nächste Update für die Server zur Namensauflösung geben wird, gilt abzuwarten. (gS-)

(via efluxmedia.com, thx!))

• Kommentar schreiben