Der Sicherheitsexperte Dan Kaminsky hat erklärt, dass er eine sehr schwerwiegende Schwachstelle im DNS-System entdeckt habe, und damit einige Aufregung verursacht. DNS-Cache-Poisoning-Angriffe, auch als Spoofing bekannt, gefährden die Sicherheit im Internet stark. Damit kann unter anderem der gesamte E-Mail-Verkehr eines Unternehmens auf Server eines Angreifers abgezweigt oder User, auch wenn sie alles richtig machen, auf falsche Sites gelenkt werden. Dies berichtete
inside-it.ch im Jahr 2008.
Nachdem das Problem mit verschiedenen Massnahmen behoben wurde, könnte es ein Comeback erleben, wie Security-Forscher nun berichten.
Ein Team der University of California und der Tsinghua Universität hat demnach einen neuen Weg gefunden, um anfällige DNS-Caches auszunutzen: "SAD DNS". Die Forscher haben ihre Ergebnisse an einer Security-Konferenz vorgestellt. Demnach sind 34% der offenen DNS-Resolver im Internet verwundbar, wozu auch ein Grossteil der beliebtesten DNS-Dienste gehören, darunter Googles 8.8.8.8 und Cloudflares 1.1.1.1.
Das Domain Name System (DNS) verbindet Domain-Namen mit den entsprechenden IP-Adressen. DNS-Resolver speichern Antworten auf IP-Adressanfragen normalerweise für einen bestimmten Zeitraum im Cache, um die Antwortleistung in einem Netzwerk zu verbessern. Bei einem Spoofing-Angriff werden falsche Informationen in einen DNS-Cache eingeschleust, sodass Abfragen eine falsche Antwort liefern und die Nutzer zu falschen Websites geleitet werden.
DNS-Cache-Poisoning-Angriffe wurden durch eine Reihe von Abwehrmassnahmen weitgehend unterbunden. Dazu gehören DNS Security Extensions (DNSSEC) oder die Randomisierung der Quellports.
Die Forscher haben nun einen Weg gezeigt, diese Randomisierung aufzulösen. Nachdem der Quellport de-randomisiert worden sei, sei es möglich gewesen, eine böswillige IP-Adresse einzuschleusen und so erfolgreich einen DNS-Cache-Poisoning-Angriff durchzuführen. Die Details haben die Forscher im Paper
"DNS Cache Poisoning Attack Reloaded: Revolutions with Side Channels" publiziert.
Weitere Experimente unter realistischen Serverkonfigurationen und Netzwerkbedingungen würden zudem zeigen, dass ihre grundlegende Methode leicht an das gesamte DNS-System angepasst werden könnte.