Der Cache des Default-Nameservers des chinesischen Netzbetreibers China Netcom (CNC) wurde laut den Websense Security Labs vergiftet. Gibt ein Kunde von China Netcom einen ungültigen Domainnamen ein, wird er vom vergifteten Nameserver auf eine Seite weitergeleitet, die dann versucht, über verschiedene Exploits Schadsoftware auf dem Rechner des Benutzers zu installieren.
Umleitung der Umleitung zur Werbung
Das Benutzer beim Aufruf eines falsch eingetippten Domainnamens auf eine Seite mit Werbung umgeleitet werden, ist inzwischen ein bekanntes Problem. In den meisten Fällen wurden diese Domains von Typosquattern registriert, der ISP kann zusätzlich alle nicht existierenden Domains auf eigene Seiten umleiten. Das scheint auch bei China Netcom der Fall zu sein. Die Angreifer haben es geschafft, den Eintrag für den dafür verwendeten Server zu vergiften und die Netzwerkverbindungen zu ihrem eigenen Server umzuleiten. Die Benutzer landen also nicht auf der Seite mit der Werbung ihres ISPs, sondern auf einer Seite der Angreifer.
Die Exploits
Die Seite der Angreifer enthält einen iFrame mit Exploits für verschiedene Schwachstellen, darunter einen für die Schwachstelle im Microsoft Access Snapshot Viewer, die Anfang Juli bekannt und am August-Patchday behoben wurde. Weitere Exploits versuchen, Schwachstellen im RealPlayer und Adobes Flash-Player sowie aus Microsofts Security Bulletin MS06-014 auszunutzen.
Diese Exploits, mit Ausnahme des Exploits für die relativ neue Schwachstelle im Access Snapshot Viewer, wurden bereits bei den seit dem Frühjahr laufenden Angriffen über SQL-Injection verwendet (Standpunkt Sicherheit vom 28. April). Vermutlich stecken hinter allen Angriffen also die gleichen Hintermänner.
Wen betrifft das hier?
Wenn in China ein Nameserver vergiftet wird, ist das für uns in Deutschland im Prinzip genauso relevant wie der sprichwörtliche umgekippte Sack Reis. Aber genauso, wie auch in Deutschland ein Reissack umkippen kann, so kann hier auch ein Nameserver vergiftet werden. Das Internet kennt keine Grenzen (auch wenn viele Politiker sich reichlich Mühe geben, welche zu ziehen), entsprechende Angriffe sind überall auf der Welt möglich. Die Angreifer müssen nur einen ungepatchten Nameserver finden - oder eine ausreichend leistungsfähige Verbindung zu einem gepatchten Nameserver haben. Fakt ist: Die von Dan Kaminsky entdeckte Design-Schwachstelle in der DNS-Spezifikation wird ausgenutzt. Und wenn man sich ansieht, über wie viele SQL-Injection-Angriffe die Exploits im Frühjahr verbreitet wurden, dann werden sich die Angreifer diesmal wohl kaum mit einem einzigen Nameserver zufrieden geben. Gegen diese Angriffe helfen nur aktuelle Virenscanner, denn wenn man merkt, dass man auf eine falsche Seite umgeleitet wurde, kann es für manuelle Gegenmaßnahmen, d.h. das schnelle Schließen des entsprechenden Fensters, schon zu spät und der Exploit aktiv sein.
Carsten Eilers
Weiterführende Links:
- Design-Schwachstelle in der DNS-Spezifikation gefährdet Internet
- Details zur DNS-Schwachstelle durchgesickert
- Exploits für DNS-Schwachstelle veröffentlicht
- DNS-Angriffe laufen, Gegenmaßnahmen notwendig!
- DNS-Schwachstelle - Aktuelle Entwicklungen
- DNS-Schwachstelle - Die Auflösung aller Rätsel
- DNS-Cache-Poisoning trotz Patch möglich
- Security aktuell: Design-Schwachstelle im DNS-Protokoll erlaubt DNS-Cache-Poisoning
Kommentare