Update: Neue Informationen zum DNS-Supergau

- 24. Juli 2008

Es kommt Licht in die kürzlich entdeckte Schwachstelle im DNS-Protokoll, die viele Anbieter von Nameservern zu dringenden Appellen veranlasste, aktualisierte Softwareversionen einzuspielen. Außerdem sind erste Exploits der Lücke aufgetaucht.

Der Sicherheitsexperte Dan Kaminsky wollte die Hintergründe der von ihm entdeckten Schwachstelle medienwirksam bis zu seinem Auftritt auf der Black-Hat-Konferrenz zurückhalten, doch nun sind erste Details durchgesickert.

Die Schwachstelle bezieht sich offenbar auf eine eher unspektakuläre Kombination zweier bekannter, älterer Angriffe. Der erste von ihnen besteht darin, dass bei einer DNS-Anfrage eines DNS-Resolvers dieser eine Anfragenummer, eine QID, vergibt. Kann ein Angreifer bei einer gefälschten Antwort diese QID vorweisen, so nimmt der Resolver diese für bare Münze. Steht er etwa bei einem Internet Provider sind in der Folge alle Kunden davon betroffen, dass sie auf falsche Webserver umgeleitet werden, wenn sie populäre DNS-Namen auflösen wollen. Die Herausforderung für Angreifer besteht darin, schneller auf eine Anfrage zu beantworten als der legitime Server. In dem Fall speichert der Resolver sie nämlich anstelle der korrekten Antwort.

Die Schwachstelle ist weithin bekannt und wird durch zufällig erzeugte QIDs etwas entschärft. Einige Implementationen wie der von Bernstein entwickelte DJBDNS akzeptieren darüber hinaus auch nur Antworten von gewissen Ports, so dass die Entropie bei knapp 32 Bit liegt. Das macht einen erfolgreichen Angriff zumindest erheblich unwahrscheinlicher.

Die zweite Schwachstelle besteht darin, einen Nameserver dazu zu bringen, Namen einer Domain aufzulösen, die unter der Kontrolle des Angreifers steht. Dies wäre etwa möglich, indem unwahrscheinlich günstige Produkte auf einer Website angepriesen werden, die viele Links auf den kontrollierten Server enthalten. Fragt ein Resolver nun dort an, antwortet er neben der gestellten Anfrage auch mit weiteren Informationen, etwa mit vorgeblichen IP-Adressen von andere DNS-Namen. Obwohl diese zusätzliche Auskunft gefälscht ist, übernahmen früher einige Namerserver sie in ihren Cache. Aktuelle Implementationen akzeptieren diese zusätzlichen Ressource Records nur, wenn sie die gleiche Domain betreffen.

Die neue Schwachstelle kombiniert nach noch unbestätigten Quellen aus dem Internet beide Angriffe: Der Angreifer stellt massenhaft Anfragen zu einer Domain, die er angreifen möchte, verwendet aber Namen, die generiert sind, etwa ‘attack00000.opfer.org’, ‘attack00001.opfer.org’ und so weiter. In der Regel antwortet der legitime Server von ‘opfer.org’ jeweils damit, dass solche Namen nicht existieren und diese Antwort verarbeitet der empfangende Resolver auch korrekt. Da sich jedoch die Anzahl der Anfragen praktisch beliebig steigern lässt, besteht die Gefahr, dass sich der Resolver eine gefälschte Antwort unterschieben lässt. Eine zugewiesene Antwort etwa zu ‘attack87654.opfer.org’ ist an sich nicht gefährlich, allerdings schickt der Angreifer wie beim zweiten klassischen Angriff auch eine neue IP-Adresse zu ‘www.opfer.org’ mit. Die übernimmt der Resolver dann ungeprüft in den Cache.

Aktuell sind noch keine Exploits veröffentlicht, die dieses Verfahren implementieren, aber es gibt Gerüchte, die sagen, dass damit ein Resolver innerhalb von zehn Minuten einem DNS-Namen eine neue IP-Adresse zuweisen kann. Die Schwachstelle greift damit keinen Fehler in einer bestimmten Implementation an, sondern beruht auf einer Designschwäche des DNS-Protokolls, das nur unzureichende Mechanismen zur Authentisierung vorschreibt. Eine Verbesserung der Situation sei nur mit DNSSEC zu erreichen, behaupten einige Anbieter. Als erste Top-Level-Domain plant “.org”, durchgängig den abgesicherten Nachfolger von DNS zu unterstützen. Dennoch erwartet Anwender und Admins eine Umstellung, die sich über mehrere Monate, wenn nicht Jahre hinziehen wird.

Update: Zwischenzeitlich sind zwei Exploits aufgetaucht, die auf dem Metasploit-Framework basieren. Der eine tauscht durch das beschriebene Verfahren die Adresse eines einzelnen DNS-Namens aus, der andere, noch neuere Angriff ist noch allgemeiner und biegt den kompletten Nameserver-Eintrag der angegriffenen Domäne um, so dass potentiell alle ihrer verwalteten Namen betroffen sind.

SCHLAGWORTE
DNS
Security
Server

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen