07.08.2008 15:53
Kaminsky veröffentlicht letzte Details zur DNS-Schwachstelle
Dan Kaminsky hat in seinem Black-Hat-Vortrag die letzten Details zu der vom ihm entdeckten Schwachstelle im Domain Name System enthüllt. Neben dem Angriff auf einen CNAME-Record ist es offenbar möglich, einem anfragenden Nameserver eine Antwort mit gefälschten Angaben für die Anfrage bei weiteren Nameservern unterzujubeln. Damit lässt sich nicht nur ein einzelner Adress-Eintrag im Cache manipulieren, sondern alle weiteren Anfragen an den Nameserver eines Angreifers umleiten.
Dabei macht sich der Angriff zunutze, dass ein rekursiv auflösender Nameserver von einem Nameserver zum nächsten weiterdelegiert wird, bis er schließlich den für die Domain zuständigen Nameserver erreicht hat. Dabei hat der Angreifer mehrfach die Gelegenheit, gespoofte Pakete an den Server des Opfers zu schicken. Es soll sogar möglich sein, die Nameserver für die Top-Level-Domains auf diese Weise anzugreifen. Erstmals war ein Hinweis auf diese alternative Angriffsart im Exploit von H.D.Moore aufgetaucht. Das könnte auch die unterschiedlichen Zeitangaben verschiedener Sicherheitsspezialisten erklären, wie lange es dauern soll, bis eine Cache-Poisoning-Attacke erfolgreich ist. Während einige Angaben im Minutenbereich lagen, betonte Kaminsky mehrfach, dass sein Angriff nur wenige Sekunden dauere.
Kaminsky geht in seinem aus 104 Seiten bestehenden Vortrag auch auf die Auswirkungen des DNS-Problems auf verschiedene Dienste wie Mail, SIP und andere ein. Zudem berichtete er über die Patch-Erfolge der Unternehmen – zumindest für Nordamerika. So sollen von den Fortune 500 bereits 70% die Patches auf ihren Mail-Servern installiert haben, 15 Prozent davon sollen aber noch Probleme mit NAT-Geräten an ihren Grenzen haben, die die Wirkung des Patches – die höhere Zufälligkeit des Source-Ports bei Anfragen – wieder zunichte machen. Bei anderen Serversystemen liege die Patch-Quote bei 61 Prozent, wobei hier knapp 22 Prozent mit NAT/PAT Probleme hätten.
Siehe dazu auch:
- Why So Serious, Vortrag von Kaminsky zum Download (ppt)
Zu den Hintergründen und aktuellen Entwicklungen beim Sicherheitsproblem im Domain Name System siehe:
- DNS-Sicherheitsproblem: Neue und vergessene Patches
- Apple schließt Schwachstelle in DNS-Server unter Mac OS X
- Patches gegen DNS-Schwachstellen bremsen Server aus
- Telekom hinkt mit DNS-Sicherheitspatch hinterher
- Apple ohne Patch für DNS-Lücke
- Erste Angriffe auf Nameserver beobachtet
- Exploits für DNS-Schwachstellen veröffentlicht
- Details zum DNS-Sicherheitsproblem veröffentlicht
- Reaktionen auf DNS-Angriffszenario bei deutschen CERTS und Netzknoten
- Massives DNS-Sicherheitsproblem gefährdet das Internet
(dab)
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
