image

Hackers vallen DNS-servers aan via nieuwe exploit

donderdag 31 juli 2008, 16:30 door Redactie, 18 reacties

Ongepatchte DNS-servers worden op dit moment aangevallen via exploits die zelfs de maker van de eerste DNS-exploit niet kent. "We zien een geheel nieuwe techniek," aldus HD Moore, de ontwikkelaar van Metasploit. Het zou gaan om exploits die nog niet publiekelijk bekend zijn. Moore ontdekte de eerder besproken aanval toen zijn collega's werden doorgestuurd naar een nepversie van Google.

Volgens Moore verschilt de exploit van de Metasploit aanval of andere bekende technieken. "Het had niet de signature van een publieke exploit. De Metasploit code zal bijvoorbeeld een niet gecached 'A' record toevoegen of alle 'NS' records vervangen met die van de kwaadaardige server. In dit geval verving de aanvaller het adres van de CNAME voor www.1.google.com, iets wat ik nog niet eerder heb gezien."

75% servers ongepatcht

De onderzoeker is nieuwsgierig waar de exploit vandaan komt, aangezien die niet op zijn code gebaseerd is. Dat alle aandacht voor het ernstige DNS-lek nog niet het gewenste effect heeft blijkt wel uit het aantal gepatchte servers. Moore zou cijfers hebben gezien waaruit blijkt dat zo'n 75% van de DNS-servers lek is. Van alle DNS-servers die geen Windows draaien is zelfs 90% ongepatcht. Het hogere percentage zou worden veroorzaakt doordat distributies zoals BIND in tegenstelling tot Windows niet over een automatische update functie beschikken.

Gisteren kwam de Stichting Internet Domeinregistratie Nederland (SIDN) met een waarschuwing voor het DNS-lek. Ongeveer een derde van de nameservers in Nederland wacht nog altijd op een patch. SIDN werkt inmiddels samen met GOVCERT om te bepalen of er nog overheidsinstanties of andere belangrijke instanties met een publieke of vitale taak zijn die risico lopen.

Reacties (18)
31-07-2008, 17:13 door Anoniem
Uiteindelijk heb je toch weinig aan dit lek omdat er nog altid een applicatie lek
moet zijn bij de eind gebruiker om een pc over te nemen. De tijden van lsass
en dcom lekken waren beter. Dat was aan de lopende band shell krijgen :)
31-07-2008, 17:35 door Anoniem
Moore zou cijfers hebben gezien waaruit blijkt dat
zo'n 75% van de DNS-servers lek is. Van alle DNS-servers die
geen Windows draaien is zelfs 90% ongepatcht. Het hogere
percentage zou worden veroorzaakt doordat distributies zoals
BIND in tegenstelling tot Windows niet over een automatische
update functie beschikken.
Dus: Windows is veiliger.
31-07-2008, 18:41 door [Account Verwijderd]
[Verwijderd]
31-07-2008, 20:12 door Anoniem
2. die 'nep-google'-site plaats zonder dat jij daar erg
in hebt malware op jouw pc.

Dacht het niet hoor.
31-07-2008, 20:15 door Anoniem
Door Clarence322
1. jij komt via een 'vergiftigde' DNS server terecht op een
server die bijvoorbeeld lijkt op de site van jouw bank.

En SSL bestaat niet meer?
31-07-2008, 21:48 door Anoniem
Daar deze fout op de dns-servers zit, maakt het niet meer
uit welk os je computer draait. De scenarios welke
Clarence322 beschrijfd, zijn een risico voor elke computer
met een internet verbinding. Dus Apple en Linux gebruikers
zijn ook de klos. De zeepbel doorgeprikt!
31-07-2008, 23:16 door Anoniem
of je gebruikt random software met een update mechanisme dat
zichzelf niet checkt.

Of je stuurt een e-mailtje dat door de onderschepper vrolijk
gearchiveerd en vervolgens naar de echte ontvanger wordt
gestuurd.

Of...
01-08-2008, 01:13 door Axnozum
Sorry, ik kon het niet laten, maar beschouw dit even als
humor en niet als een start van een flamewar aub. ;)


Van alle DNS-servers die geen Windows draaien is zelfs 90%
ongepatcht.

Dus van de DNS-servers die wel Windows draaien is 100%
ongepatched?

ps. Het is "patched", niet "patcht", dat ziet er meer Russisch uit eigenlijk...
Learn English, please.
01-08-2008, 01:33 door Axnozum
Door Clarence322
1. jij komt via een 'vergiftigde' DNS server terecht op een
server die bijvoorbeeld lijkt op de site van jouw bank.
2. je logt nietsvermoedend in op die site. Hiermee geef je
al meteen je inlognaam en je password 'door' aan de hacker,
zodat die meteen met jouw bankgegevens kan 'knutselen'

Ok, je komt via zo'n DNS binnen op een site waarvan je denkt
dat hij van je bank is. Ik neem even als voorbeeld de ING bank.
Je moet de code op je scherm intikken in je
bankgevalapparaat en dan krijg je een return code.
Ik praat even niet over je loginnaam, want die hebben ze dan.
Op die nepsite staat dus een code, en jij geeft de returncode.

Als je naar de echte site gaat krijg je een kompleet andere
code waar je een returncode op moet geven. Hoe kunnen ze dan
bij jouw gegevens?

Die returncode is gebaseert op een getal die je in het
apparaat van de bank in moet voeren, en dat getal weten ze
niet, ook niet als ze 1 of meer matches hebben. Misschien is
het algoritme eruit te halen als je een paar honderd
(misschien wel duizend?) code/return code matches hebt, maar
dan nog duurt het gigantisch lang voor je resultaat krijgt.

Het is toch veel makkelijker om vage spammail te sturen met
domme onzin ,waar nog steeds mensen in trappen, als je snel
geld wil verdienen?

Ik ken de systemen bij de andere banken niet, maar ik zie
even de fout hier niet...
01-08-2008, 08:51 door Anoniem
Door Axnozum
Als je naar de echte site gaat krijg je een kompleet andere
code waar je een returncode op moet geven. Hoe kunnen ze dan
bij jouw gegevens?

De truuc hierbij is dat die valse site op de achtergrond,
met jouw gegevens, een verbinding maakt met de echt site van
je bank. Codes gaan heen en weer zodat die combinatie klopt.

Peter
01-08-2008, 08:56 door Anoniem
Door Axnozum
Sorry, ik kon het niet laten, maar beschouw dit even als
humor en niet als een start van een flamewar aub. ;)


Van alle DNS-servers die geen Windows draaien is zelfs 90%
ongepatcht.

Dus van de DNS-servers die wel Windows draaien is 100%
ongepatched?

ps. Het is "patched", niet "patcht", dat
ziet er meer Russisch uit eigenlijk...
Learn English, please.

Volgens mij heb jij het artikel niet helemaal goed gelezen;
er staat dat 75% van de servers ongepatcht is. Wanneer je de
Windows-systemen buiten beschouwing laat, is het 90%. Dat
betekent dus dat het voornamelijk Windows-systemen zijn die
het relatieve aantal ongepatchte systemen omlaag haalt (75%
< 90%). Oftewel, er zijn meer Windows-systemen gepatcht.

En 'gepatcht' is gewoon een goede Nederlandse vervoeging van
patchen. Leer Nederlands
01-08-2008, 09:09 door Anoniem
je hebt volgens mij gelijk Axnozem.
Er is meer voor nodig om een rekening leeg te halen. Daar hebben de
verschillende banken wel zorg voor gedragen. Voor zover ik weet werken alle
banken met systemen die een bevestiging vereisen die gebaseerd is op de
transacties die je uitvoert.
Niks Blut.

Maar gevaarlijk is het wel als je PC gehackt en overgenomen wordt.
01-08-2008, 14:30 door Anoniem
Door Anoniem
Daar deze fout op de dns-servers zit, maakt het niet meer
uit welk os je computer draait. De scenarios welke
Clarence322 beschrijfd, zijn een risico voor elke computer
met een internet verbinding. Dus Apple en Linux gebruikers
zijn ook de klos. De zeepbel doorgeprikt!
welke zeepbel precies? je gaat nu toch niet beweren dat een operating system
niet veilig is omdat een andere schakel niet in orde is?
01-08-2008, 15:07 door Bitwiper
Door Axnozum op vrijdag 01 augustus 2008 01:33
Ok, je komt via zo'n DNS binnen op een site waarvan je denkt dat hij van je bank is. Ik neem even als voorbeeld de ING bank. Je moet de code op je scherm intikken in je bankgevalapparaat en dan krijg je een return code. Ik praat even niet over je loginnaam, want die hebben ze dan. Op die nepsite staat dus een code, en jij geeft de returncode.

Als je naar de echte site gaat krijg je een kompleet andere code waar je een returncode op moet geven. Hoe kunnen ze dan bij jouw gegevens?
Via een MITM (man-in-the-middle) attack.

Stel je opent https://mijn.ingbank.nl/secure/eoe/eoe_index.jsp, krijgt via DNS een gespoofed IP-adres waarna je browser verbinding maakt met een nepsite van een attacker. Als eerste zal er een onjuist certificaat opgehaald en getoond worden dat er ongeveer [url=http://www.benedelman.org/spyware/images/installers-020305.html]zo[/url] uit zou kunnen zien.

Voor de gebruikers die Yes of Ja clicken opent de nepsite die natuurlijk sterk lijkt op de ING inlogpagina, alleen in plaats van
Dubbelklik op het beveiligingsicoon in uw browser (herkenbaar aan het slotje). Het certificaat dient verleend te zijn aan mijn.ingbank.nl
zal er niets staan, of een bla verhaal over tijdelijke certificaat problemen aangevuld met iets als: trust us, you can trust us.

Op het moment dat de nepsite in jouw browser geladen wordt, zal die nepsite zelf een verbinding maken met de echte ING site. Alles wat jij invoert, en alle codes die de echte bank naar jou denkt te sturen, worden via de nepsite uitgewisseld. Op de financiële transacties na natuurlijk, waarbij ik uitsluit dat er geld bijgeboekt gaat worden op jouw rekening...
Door Anoniem 01 augustus 2008 09:09
je hebt volgens mij gelijk Axnozem.
Er is meer voor nodig om een rekening leeg te halen. Daar hebben de verschillende banken wel zorg voor gedragen. Voor zover ik weet werken alle banken met systemen die een bevestiging vereisen die gebaseerd is op de transacties die je uitvoert.
Niks Blut.

Maar gevaarlijk is het wel als je PC gehackt en overgenomen wordt.
Tenzij transacties via een ander medium (zoals SMS) worden gechecked zie ik niet hoe zo'n MITM in via een server van een attacker anders zou zijn dan een MITM in je PC. Wel blut vrees ik...

DNS was al geen betrouwbaar protocol, maar werkte in de praktijk best goed; beide zijn nu nu een stuk minder. Het enige middel waardoor je met redelijke zekerheid weet dat je PC met de juiste server communiceert is het certificaat (*).

(*) D.w.z. mits de daarbij horende private key uitsluitend bekend is binnen de organisatie waar die server toe behoort, en niet t.g.v. zoiets als de recente OpenSSL ramp door iedereen is te reproduceren met gegevens uit het (publieke) certificaat.
03-08-2008, 11:04 door Arie
Als zo'n cybercrimineel een pc onder controle heeft - d.m.v.
een trojan - moet het makkelijk voor degene zijn om op deze
pc rootcertificaten te installeren waardoor een zelfgemaakt
certificaat http://www.postbank.nl - of in die trant - gewoon wordt
geaccepteerd als veilig. Wie weet, hebben ze - de
cybercriminelen - al stilletjes op miljoenen systemen zulke
rootcertificaten geplaatst. Terug naar contant geld, dan heb
je nog de mogelijkheid om de dief een ontzettende doodstrap
te geven.
10-08-2008, 13:19 door Anoniem
leuk om dit allemaal te lezen maar wat doe je eraan?
Nachtegaal
25-03-2009, 14:47 door Zero
Door Anoniem
2. die 'nep-google'-site plaats zonder dat jij daar erg
in hebt malware op jouw pc.

Dacht het niet hoor.


Rogue dns > sslstrip > mpack > pwned... en dat alles zonder dat je het ooit in de gaten heb gehad. Man in the Middle attacks ftw

Tevens is het mogelijk om ssl te kraken. ik verwijs u naar een presentatie op Black Hat DC 2009 door Moxie Marlinspike.
25-03-2009, 14:54 door Zero
Dual posted. sorry moderators. :(
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.