Carsten Eilers ceilers-it.de

2015 gab es das volle Programm: Schwachstellen in Client und Nameserver, Remote Code Execution und DoS – alles war vertreten. Zum Glück gab es diese Schwachstellen aber nur in mehr oder weniger homöopathischen Dosen, und Angriffe gab es außer den DoS-Angriffen auf BIND-Server gar nicht.

Das Domain Name System (DNS) ist quasi das Telefonbuch des Internets. Niemand merkt sich IP-Adressen, stattdessen werden Domainnamen verwendet. Indem beim zuständigen Nameserver nachgefragt wird, welche Adresse zu einem bestimmten Namen gehört, werden Domain Names in die IP-Adressen der zugehörigen Server umgewandelt.

Wenn der Nameserver auf diese Anfrage eine falsche Antwort zurückliefert, landen Sie auf einen Server, auf den Sie nie wollten. Sie halten ihn aber für den richtigen, wenn die Fälschung gut genug gemacht ist. Das einzige, was Sie dann noch vor einem Irrtum schützt, ist SSL/TLS. Theoretisch – denn es gibt immer wieder Möglichkeiten, den Schutz auszuhebeln.

Die einfachste Möglichkeit, um falsche DNS-Antworten unterzuschieben, ist die Änderung des von Ihrem Rechner verwendeten Nameservers. Entsprechende Schadsoftware wird oft als „DNS-Changer“ bezeichnet, und davon gibt es viele verschiedene Varianten. Ebenso ist es zum Beispiel möglich, dass die Kriminellen darauf warten, dass in Ihrem Rechner ein Bit seinen Zustand wechselt und Sie auf einen falschen Server führt. Das ist gar nicht so unwahrscheinlich wie man erwarten würde, wie unten vorgestellte aktuelle Forschungsergebnisse zeigen.

Falsche Antworten sind aber nicht der einzige mögliche Angriff auf bzw. über das DNS. Ebenso ist es möglich, dass Schwachstellen im Nameserver oder Client über DNS-Abfragen bzw. -Antworten ausgenutzt werden, um zum Beispiel Code einzuschleusen und auszuführen oder einen DoS auszulösen. Während ein Nameserver direkt durch das Senden entsprechend präparierter Anfragen angegriffen werden kann, muss für Angriffe auf Clients die Antwort auf eine DNS-Anfrage präpariert werden. Ein Man-in-the-Middle-Angriff kann die Antworten auf DNS-Anfragen an beliebige Nameserver entsprechend manipulieren. Ein entfernter Angreifer kann einen eigenen Nameserver einrichten, der auf Anfragen mit entsprechend präparierten Paketen antwortet. Dann muss er den Client nur noch dazu bringen, eine DNS-Anfrage an diesen Nameserver zu schicken. Dazu kann zum Beispiel auf einer Webseite ein Bild oder Skript von einer Domain eingebunden werden, für die der bösartige Nameserver zuständig ist. Vor dem Laden der Ressource muss der Rechner den Domainnamen auflösen und dazu den bösartigen Nameserver kontaktieren.

Ein weiteres Problem im DNS sind bösartige Einträge – zum Beispiel Typosquatting-Domains, bei denen Cyberkriminelle Domains registrieren, die sich von bekannten Domains nur durch übliche Schreibfehler unterscheiden. Aber auch Subdomains, die mit legitimen Domains verwechselt werden können, oder Domains, die für den Betrieb von Command-and-Control-Servern für Botnets oder zur Verbreitung von Drive-by-Infektionen verwendet werden, sind ein Risiko.

Für Angriffe auf und über DNS gibt es also viele Möglichkeiten, und 2015 ist in diesem Bereich einiges passiert. Grund genug also, einmal einen Blick darauf zu werfen. Angefangen hat alles schon im Januar, allerdings mit einer ziemlich überbewerteten Schwachstelle.

Januar 2015: Ein Geist geht um …

Das erste Problem rund ums DNS war eine Schwachstelle in der C-Bibliothek glibc. Genauer gesagt in deren gethostbyname*()-Funktionen, die für die Umwandlung von Hostnamen in IP-Adressen zuständig sind. Über sie konnte aus der Ferne eine Pufferüberlauf-Schwachstelle in der Funktion __nss_hostname_digits_dots() ausgenutzt werden.

Das ist theoretisch sehr gefährlich – Remote Code Execution ist nun mal der bedrohlichste aller möglichen Angriffe. Um den entsprechenden Code zu erreichen und einen Pufferüberlauf auszulösen, muss ein Parameter aber ziemlich viele Bedingungen erfüllen. Deshalb ist ein Angriff in der Praxis sehr unwahrscheinlich. Zudem gibt es keinen Exploit für die Schwachstelle, nur ein Proof of Concept wurde veröffentlicht. Aber immerhin hat die Schwachstelle einen Namen: GHOST.

Das nächste Problem ist auch so eine Art Geist, jedenfalls spukt es schon seit 1999 durch die Gegend. Trotzdem gab es 2015 sogar einen Alert des US-CERT dazu.

 

Den vollständigen Artikel lesen Sie in der Ausgabe:

Entwickler Magazin 3.16 - "Optimierte Agilität"

Das DNS ist quasi das Telefonbuch des Internets; doch rund um das System gibt es viele Angriffsmöglichkeiten. Carsten Eilers deckt im Entwickler Magazin 3.16 einige von ihnen auf.

Alle Infos zum Heft
236410Angriffsziel DNS
X
- Gib Deinen Standort ein -
- or -