Das Dynamic Host Configuration Protocol (DHCP) wird für die Zuweisung von Netzwerkkonfigurationen an Clients durch einen Server ermöglicht. Besonders in größeren Netzwerken verzichtet man häufig auf die statische Zuweisung einer IP-Adresse und den weiteren benötigten Daten für die Client-Rechner. Beliebter und arbeitserleichternder ist daher die Methode, dieses dynamisch und vollautomatisch zu lösen. Neben einer eindeutigen IP-Adresse versorgt ein DHCP-Server

die Rechner noch mit einigen weiteren nötigen Details, die für die Benutzung des Internets notwendig sind. Unter anderem wird ihnen der zu verwendende DNS-Server zur Namensauflösung auf diesem Wege mitgeteilt.

Besonders im Bezug auf das sogenannte Pharming könnte dieses Thema heikel und vor allem folgenreich für den Anwender werden. Die Verwendung eines modifizierten DNS-Server würde den Benutzer anstelle der eingegebenen Seite auf eine völlig andere umleiten. Virtuelle Finsterlinge bedienen sich häufig diesem Szenario, um an Login-Details von Online-Banking oder anderen sensiblen Daten zu gelangen. Den Angaben von Symantec zufolge ist bereits ein erster Trojaner in freier Wildbahn gesichtet worden, der einen schädlichen DHCP-Server auf dem Client-Rechner installiert und von diesem Daten abfangen könnte. Anstelle des wirklichen DHCP-Servers würde dann der infizierte Client auf Anfragen anderer Rechner reagieren und Selbige mit entsprechend modifizierten Daten ausstatten. Dazu ist es natürlich erforderlich, dass der befallene Host schneller auf die DHCP-Anfrage des eigentlichen Servers antwortet. Erfolgreich könnte dieses Szenario bereits sein, wenn nur ein Rechner im Netzwerk von dem Schädling infiziert wurde, hieß es. Die Chancen, dass eine Sicherheitssoftware diesen Vorfall erkennt, ist als absolut unwahrscheinlich anzusehen.

Die Sicherheitsexperten von Symantec empfehlen allen Administratoren ihren Netzwerkverkehr auf dubiose DHCP-Offers zu überprüfen. Besonders wenn diese nicht vom eigentlichen DHCP-Server stammen ist dieser Hinweis von gesteigerter Relevanz. Als eine weitere Empfehlung wurde angegeben, den Verkehr zu Adressen in der IP-Adress-Range von 85.255.112.0 bis 85.255.127.255 (UkrTeleGroup) besonders zu überwachen. In diesem Bereich sollen außerordentlich viele und bekannte modifizierte DNS-Server aktiv sein. (gS-)

(via itwire.com, thx!)