Die neuesten Entwicklungen im Fall der DNS-Schwachstelle: ISC bereitet einen verbesserten Patch für BIND vor, H D Moore wurde indirekt Opfer eines DNS-Cache-Poisonings, eine schöne Darstellung der Angriffe wurde veröffentlicht und Cisco hat sein Security-Advisory aktualisiert.

BIND-Patch, zum zweiten...

Paul Vixie vom BIND-Hersteller ISC hat einen verbesserten Patch für BIND angekündigt. Während bei der Entwicklung des bisher verwendeten Patches, erkennbar am -P1 in der Versionsnummer, das Beheben der Schwachstelle im Vordergrund stand, soll nun auch die Performance verbessert werden. Vor allem rekursiv auflösende Server mit großer Last, worunter ISC Server mit mehr als 10.000 Anfragen pro Sekunde versteht, werden vom bisherigen Patch ausgebremst.

Der sich für BIND 9.4.3 und BIND 9.5.1 im Beta-Stadium befindende neue Patch -P2 wird zum einen die Performance verbessern, zum anderen auch die zufällige Verteilung der Source-Ports als Gegenmaßnahme gegen die DNS-Schwachstelle verbessern. Mit einer Veröffentlichung wird bis zum Ende dieser Woche gerechnet.

Angriff bestätigt

Inzwischen gab es den ersten groß angelegten Cache-Poisoning-Angriff. Die Angreifer haben einen Nameserver von AT&T in Austin, Texas, angegriffen und den Eintrag für www.google.com geändert. Benutzern, die von diesem Nameserver die IP-Adresse von www.google.com erhalten wollten, wurde stattdessen eine IP-Adresse der Angreifer übermittelt. Auf diesem Server wurden dann drei Frames mit Werbung und ein vierter mit einer gefälschten Google-Seite angezeigt.

Ironie des Schicksals: Der manipulierte Nameserver wurde indirekt auch vom Sicherheitsunternehmen BreakingPoint genutzt, dem Arbeitgeber von H D Moore, einem der Entwickler der ersten Exploits für die Schwachstelle. Hätten die Hacker das gewusst, hätten sie wohl lieber einen anderen Server aufs Korn genommen. Für alle anderen ist das ein Glücksfall, denn dadurch gibt es eine detaillierte Beschreibung, wie der Angriff aufgedeckt wurde. Besondere Beachtung verdient dabei ein Punkt: Die Nameserver von BreakingPoint waren nicht selbst betroffen, sondern haben vom AT&T-Nameserver eine falsche Antwort bekommen. H D Moores Schlussfolgerung aus dem Angriff: "The lesson -- even if your own DNS servers are patched, make sure none of those systems use an upstream DNS that has not."

Alles so schön bunt hier...

Nein, ich meine damit nicht den Online-Test des DNS-OARC, obwohl der auch schön bunt ist, sondern diese Beschreibung der Schwachstelle im Blog der McAfee Avert Labs. Eine, wie ich finde, sehr gut gelungene Darstellung der Zusammenhänge. Auch bunt ist eine Analyse von Arbor Networks: 30 Days of DNS Attack Activity: Wie sieht es denn seit Bekanntwerden der Schwachstelle mit den DNS-Abfragen aus? Die Antwort: Durchwachsen. Mit dem Bekanntwerden der Schwachstelle ist die Anzahl der Abfragen stark angestiegen und trotz eines gewissen Rückgangs immer noch deutlich höher als zuvor. Was aber nur zum Teil auf tatsächliche Angriffe zurückzuführen ist, auch Schwachstellentests dürften zum Anstieg beigetragen haben.

Verwundbar trotz installiertem Patch?

Auf die Gefahr, das NAT-Router evtl. die zufällig erzeugten Source-Ports durch vorhersagbar erzeugte ersetzen, hatte ich bereits hingewiesen. Von Cisco gibt es inzwischen ein aktualisiertes Security-Advisory, das auf die Gefahr durch diese sog. Port Address Translation (PAT) hinweist und die betroffenen Cisco-Geräte auflistet. Informationen über evtl. Patches gibt es nur für registrierte Benutzer. Sollten Sie Cisco-Geräte einsetzen, ist also ein erneuter Blick ins Security-Advisory fällig.

Carsten Eilers