Nieuws
image

Microsoft, Sun en Cisco redden Internet van ernstig DNS-lek

woensdag 9 juli 2008, 15:16 door Redactie, 8 reacties

Een kwetsbaarheid die het internet had kunnen ontregelen en vele miljoenen mensen in gevaar zou hebben gebracht is op tijd door Microsoft, Sun en Cisco gepatcht. Het lek in het Domain Name System (DNS) zou volgende maand tijdens de Black Hat conferentie worden onthuld en zorgt ervoor dat een aanvaller iemand z'n websessie kan kapen en het slachtoffer naar een kwaadaardige server kan doorsturen om zo malware te verspreiden of vertrouwelijke informatie te stelen.

Om dit te doen moeten aanvallers de DNS server van een website "vergiftigen" en bezoekers een ander IP-adres geven. Dit kan men doen door een e-mail naar een niet bestaande gebruiker te sturen of een e-mail met een extern gehoste afbeelding te mailen. De aan te vallen DNS zal dan een query naar de DNS server van de aanvaller sturen. In het DNS antwoord stuurt de aanvaller extra gegevens mee die de DNS cache van het slachtoffer vervuilen. Om de prestaties van DNS servers te verbeteren slaan die de terug te sturen data op, zodat ze sneller op aanvragen kunnen reageren. Als de DNS cache is vergiftigd, geldt dit voor alle nieuwe aanvragen die de DNS server van het domein in kwestie te verwerken krijgt.

De data die de aanvallers meesturen kan bijvoorbeeld een kwaadaardige URL zijn, maar als de DNS server niet goed is geconfigureerd kan zelfs het legitieme IP-adres door een kwaadaardige worden vervangen.

D-Day

Vanwege de ernst van de kwetsbaarheid, die trouwens ook al een keer in 2005 was ontdekt, en het feit dat die in bijna alle DNS distributies aanwezig is, hebben betrokken vendors samengewerkt en op dezelfde dag een patch uitgebracht, zonder dat de pers hier hoogte van had. De coördinatie bij het ontwikkelen van de update is van ongekende omvang, aldus Dan Kaminsky, de onderzoeker die het lek per ongeluk ontdekte. In dit interview laat hij weten dat dit nooit eerder is gebeurd. Op zijn website heeft Kaminsky een tool beschikbaar gemaakt die controleert of de gebruikte DNS software lek is.

Doordat de update nu is uitgebracht, gaan alle betrokkenen ervan uit dat kwaadaardige hackers binnen een aantal weken een exploit gereed zullen hebben. Bedrijven wordt dan ook opgeroepen om actie te ondernemen.

Volgens het Internet Storm Center is het een lapmiddel. "Uiteindelijk moeten we het DNS uit elkaar halen en opbouwen. DNSSEC is een uitbreiding van het DNS en vraagt om cryptografische authenticatie. Het vereist een PKI infrastructuur die op dit moment nog niet bestaat."

Update: Verwijzing ISC verwijderd

Reacties (8)
09-07-2008, 15:32 door Anoniem
waar kan ik de patch vinden? dank bij voorbaat
(windows vista)
09-07-2008, 16:06 door spatieman
eh?
is dit niet eigenlijk al oud nieuws?
maardan in een nieuw jasje.

enne, ano, het is een DNS isue, ik neem aan dat je geen DNS
server hebt lopen :)
09-07-2008, 16:11 door Anoniem
"Een kwetsbaarheid die het internet had kunnen ontregelen en vele
miljoenen mensen in gevaar zou hebben gebracht is op tijd door Microsoft,
Sun en Cisco gepatcht."

Overdrijven is ook een kunst; immers voel ik mij niet in gevaar gebracht door
een vulnerability op internet. Daarnaast wordt er wel veel eer gegeven aan
Microsoft, Sun en Cisco, voor het feit dat ze met een lapmiddel komen voor
een vulnerability waarvan ze reeds sinds 2005 op de hoogte zijn.
09-07-2008, 16:31 door Anoniem
Door spatieman
eh?
is dit niet eigenlijk al oud nieuws?
maardan in een nieuw jasje.

enne, ano, het is een DNS isue, ik neem aan dat je geen DNS
server hebt lopen :)

Dit heeft betrekking op de DNS server en de DNS client. Het
is natuurlijk leuker om een server van een poisend cache te
voorzien maar een client kan ook.
09-07-2008, 16:39 door Anoniem
DNS server van een website "vergiftigen" en bezoekers
een ander IP-adres geven.

Het is niet de nameserver van de website die gepakt wordt.
Het is de nameserver van de provider. Zodat al zijn klanten
de verkeerde informatie hebben en doorverwezen worden naar
een webserver onder beheer van de criminelen.

We kunnen er vanuit gaan dat de providers hun nameservers
patchen. Een grote probleem zijn echter de (ADSL/kabel)
routers die ook een nameserver in zich hebben. Die geven
meestal aan de machines achter het modem, via DHCP, zichzelf
op als nameserver. Hijzelf zal proberen gebruik te maken van
de nameserver van de provider. Maar niets voorkomt dat die
router ook de verkeerde informatie krijgt toegespeeld.

Ik kan me geen procedure herinneren waarmee massaal
dergelijke routers geupgrade worden.

Peter
09-07-2008, 20:20 door Anoniem
voor de liefhebbers van opera: ook daar is een handige manier voor het
blokkeren van advertenties voor (anders dan blokkeren van afbeeldingen e.d,
dat in opera standaard zit). Zie artikel computertotaal:
http://www.computertotaal.nl/web/Artikelpaginas/Blog-artikel/Browsen-met-
Opera.htm
en dan vind je bij stap 08 de adblock-info. Handig en werkt echt.
En nu maar hopen dat adverteerders dat geflits is achterwege laten ...
10-07-2008, 00:59 door Anoniem
Het is mooi dat er aandacht voor is, maar deze bug is al een
paar jaar oud. Leest
http://blog.netherlabs.nl/articles/2008/07/09/some-thoughts-on-the-recent-dns-vulnerability
en vooral ook de toch al een poosje in ontwikkeling zijnde
rfc-draft:
http://tools.ietf.org/html/draft-ietf-dnsext-forgery-resilience

Gelukkig zijn er mensen die wel nadenken over hoe je goede
software schrijft!
10-07-2008, 08:57 door spatieman
veiligere DNS server gebruiken dan maar die wat trager is..
doe ik ook voor mijn zooitje hier.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search