Vor wenigen Wochen kamen gleichzeitig eine Warnung des US-Cert und Patches von zahlreichen großen Softwareherstellern, konkrete Details über die betroffene Sicherheitslücke wollte man allerdings noch nicht veröffentlichen. Und dies aus gutem Grund: Immerhin hatte der Sicherheitsexperte Dan Kaminsky offenbar ein grundlegendes Problem bei der Implementation von Domain Name Servern (DNS) gefunden, dessen Ausnutzung weitreichende Folgen für das Internet als Ganzes haben könnte.

Verhältnis

Denn über die DNS wird festgehalten, welcher Domainname zu welcher IP-Adresse gehört. Wird dieser Eintrag manipuliert, so bieten sich zahlreiche Betrugsmöglichkeiten. Immerhin könnte sich so etwa eine Phishing-Seite unter der "echten" Adresse einer E-Commerce-Seite platzieren und auf diese Weise Kreditkartendaten abfangen.

Lücke

Von der Lücke betroffen sind praktisch alle gebräuchlichen DNS-Implementationen, um den einzelnen Server-BetreiberInnen Zeit für ihre Updates zu geben, wollte man sich noch Zeit bis zur Nennung von weiteren Details lassen. Diese Periode scheint nun aber vorbei zu sein: In seinem Weblog spekuliert ein weiterer - unter dem Namen Halvar Flake auftretender - Sicherheitsexperte über die konkreten Hintergründe, und dürfte damit ins Schwarze getroffen zu haben. Kaminsky bestätigt die Richtigkeit der Angaben zwar nicht, rät in einem eigenen Blog-Eintrag aber allen zu sofortigen Updates.

Exploit

Mit diesem Wissen ausgestattet, wird es wohl nicht lange dauern, bis erst funktionierende Exploits auftauchen, die diese Lücke ausnutzen. Bleibt zu hoffen, dass die DNS-BetreiberInnen ihre Hausaufgaben gemacht haben und die entsprechenden Updates bereits eingespielt haben. Andernfalls gehen ExpertInnen von einer raschen Zunahme an Attacken aus.

Details gelangten an die Öffentlichkeit

Wie nun bekannt wurde, sind einige Details zum DNS-Sicherheitsproblem an die Öffnetlichkeit gelangt, bevor Dan Kaminsky diese auf der kommenden Black-Hat-Konferenz veröffentlichen konnte. Laut einer Meldung von Heise ist das Stichwort des vereinfachten Cache-Poisoning-Angriffs offenbar "in-bailiwick-Records". Das Bailiwick Checking bezeichnet die Funktion eines "Caching Nameserver in einer Antwort eines anderen Servers keine ungefragt mitgelieferten Additional Resource Records mehr anzunehmen, wenn sie nicht aus der angefragten Domain stammen", so Heise. Der Server verhindert damit, dass bei bestimmten Anfragen andere Einträge untergeschoben werden. AngreiferInnen, die sich zusätzlich der DNS-Attacke bedienen, gelingt es nun dennoch, den Cache zu manipulieren.

Falsche IDs

AngreiferInnen verwenden für die Anfragen verschiedene Transaktions-IDs. Es ist somit möglich, die richtige ID herauszubekommen. Laut Matasano Security, die nähere Details zur Lücke in ihrem Blog veröffentlicht hatten, mittlerweile, ist diese Information nicht mehr abrufbar, können AngreiferInnen mit einer schnellen Internetanbindung innerhalb von 10 Sekunden an die Daten kommen. Nachdem die Information nun schon im Netz war, ist ein schnelles Patchen oder ein Umstieg dringend angeraten.(red)