Am 22.07.2008 wurden für die von Dan Kaminsky am 08.07.2008 entdeckte DNS-Sicherheitslücke die ersten Exploits veröffentlich.
Die DNS-Sicherheitslücke ermöglicht es dem DNS-Cache falsche Einträge unter zu schieben.
[…] Mit Bailiwick Checking akzeptiert ein Caching Nameserver in einer Antwort eines anderen Servers keine ungefragt mitgelieferten Additional Resource Records mehr, wenn sie nicht aus der angefragten Domain stammen (out-of-bailiwick). Somit verhindert der Server, dass ihm bei Anfragen für www.example.com ein Eintrag für www.noexample.com untergeschoben wird.
In Kombination mit der DNS-Geburtstagsattacke gelingt es einem Angreifer aber dennoch, den Cache erfolgreich zu manipulieren. Dazu bringt er den Server seines Opfers etwa mit Links in Mails an Anwender dazu, bestimmte Adresse abzufragen, etwa aaa.example.com, aab.example.com, aac.example.com und so weiter. Für jede dieser Anfragen benutzt der Nameserver des Opfers eine eigene Transaktions-ID. Je mehr Transaktions-IDs verbraucht sind, desto großer ist die Chance für den Angreifer, mit einer gefälschten Antwort und einer erratenen ID eine richtige ID zu treffen. Zwar ist die Wahrscheinlichkeit, einen Treffer für www.example.com zu landen, immer noch recht gering, trägt der Angreifer aber in jede Antwort den Additional Resource Record (RR) für www.example.com mit der IP des von ihm kontrollierten Servers ein, so kann er den Cache trotzdem manipulieren – denn der RR ist „in-bailiwick“. […]
Quelle: http://www.heise.de/security/Details-zum-DNS-Sicherheitsproblem-veroeffentlicht–/news/meldung/113133
Diese Sicherheitslücke betrifft Linux-Systeme
(http://www.net-security.org/advisory.php?id=9044)
sowie Microsoft Systeme
(http://www.microsoft.com/germany/technet/sicherheit/bulletins/MS08-037.mspx)
Unter http://doxpara.com/ ist ein DNS-Checker verfügbar, mit dessen Hilfe man angeblich die Verwundbarkeit des eigenen Systems testen kann.
Seit letzte Woche Mittwoch (23.07.2008) ist auch ein vermehrter Empfang von Spam-eMails mit ZIP-Dateien im Anhang festgestellt. Ob dies jedoch mit der Sicherheitslücke zusammenhängt ist unklar.
Weitere Links:
- http://securosis.com/2008/07/08/dan-kaminsky-discovers-fundamental-issue-in-dns-massive-multivendor-patch-released/
- http://www.tecchannel.de/index.cfm?pid=426&pk=1765336
http://www.heise.de/security/Massives-DNS-Sicherheitsproblem-gefaehrdet-das-Internet–/news/meldung/110641 - http://www.linux-community.de/Neues/story?storyid=26100