DENIC rät zu Software-Update aufgrund einer Sicherheitslücke bei DNS-Resolvern
Anfang Juli ist von allen namhaften Herstellern von DNS-Software sowie diversen Incident Response Teams (CSIRTs) auf ein aktuelles DNS-Problem hingewiesen worden, wodurch Nameservern verfälschte Informationen untergeschoben werden könnten. Die DENIC möchte nachfolgend über die Hintergründe informieren, ihre Sicht auf das Problem darstellen und Handlungsoptionen für die Betreiber von Nameservern aufzeigen.
Die beschriebene Schwachstelle betrifft viele rekursive Nameserver. Es handelt sich dabei um Programme, die für Auflösung von Rechnernamen in IP-Adressen zuständig sind. Die entsprechende Information wird nicht nur direkt an das anfragende Programm (etwa einen Webbrowser) weitergegeben, sondern eine Zeit lang im Cache, dem Zwischenspeicher des Nameservers, bereitgehalten. Durch die Lücke können Angreifer in den Cache von ungeschützten rekursiven Nameservern falsche Daten für bestimmte Domains einfügen. Da der Inhalt bildlich „vergiftet“ wird, spricht man an dieser Stelle von „Cache Poisoning“.
Ziel eines solchen Angriffs könnte es sein, Internetnutzer auf gefälschte Webseiten umzulenken (ähnlich wie beim sogenannten Phishing), ohne dass der Nutzer einem gefälschten URL folgen müsste. Der Angreifer gelangt so möglicherweise in den Besitz von Nutzerkennungen und Passwörtern oder anderen wertvollen Informationen.
Die DENIC kann derzeit keine Angaben zur Natur der konkreten Angriffsmethode machen. Dan Kaminsky, ein Sicherheitsexperte, der bereits mehrfach über das DNS publiziert hat, wird die Details auf der Blackhat-Konferenz am 6. August 2008 vorstellen.
Informationen zum allgemeinen technischen Hintergrund des Angriffsszenarios haben wir auf einer Informationseite zusammengestellt.
Cache Poisoning ist grundsätzlich ein lange bekanntes Problem im DNS, das sich aus dessen Design ergibt. Man hat im Laufe der Jahre daher diverse Methoden der Härtung von Resolvern entwickelt und die Software dadurch weniger anfällig gemacht. So sind seit langem keine Vorfälle bekannt, in denen Cache Poisoning eine Rolle gespielt hätte. Um auch das aktuelle Problem zu bekämpfen, haben alle Hersteller von Nameservern kurzfristig Patches für ihre Systeme veröffentlicht, die es den Angreifern deutlich schwerer machen, den Cache der Nameserver mit falschen IP-Adressen „zu vergiften“. Hierzu wird der Port, von dem der Resolver seine Abfrage sendet, zufällig ausgewählt (sogenanntes „source port randomization“). Der Angreifer muss dann nicht nur die Transaktionsnummer der Anfrage, sondern zusätzlich den richtigen Port ausfindig machen, um seine gefälschte Antwort im Cache unterzubringen.
Es liegen zwar noch keine Erkenntnisse darüber vor, dass die Sicherheitslücke tatsächlich schon ausgenutzt wurde, aber die öffentliche Diskussion darüber kann die Wahrscheinlichkeit dafür erhöhen. Die DENIC empfiehlt daher allen Betreibern von rekursiven Nameservern, im Interesse der Nutzer und der Sicherheit und Stabilität des DNS im Ganzen, sich mit ihrem Softwarelieferanten in Verbindung zu setzen und die von ihnen eingesetzten Programme schnellstmöglich auf den neuesten Stand zu bringen.