Angriffe auf die Caches von DNS Resolvern.

8. Juli 2008 Angriffe auf die Caches von DNS Resolvern.

Zusammenfassung

Es wurde ein neuer Angriff auf die Integrität von Caches von Nameservern bekannt, der das Einschleusen von falschen Daten deutlich vereinfacht.

Für die meiste Nameserversoftware haben die Hersteller Updates herausgegeben, die mittels "Source Port Randomization" die Erfolgswahrscheinlichkeit dieses Angriffs minimieren.

Es wird dringend empfohlen, diese Updates einzuspielen. Details zu dem Angriff werden in den nächsten Wochen publik, und dann ist mit massiven Angriffsversuchen zu rechnen.

Autoritative Nameserver sind davon nicht betroffen.

Beschreibung

Das Domain Name System sorgt für die Auflösung von Domainnamen zu IP Adressen und anderen Adressierungsinformationen im Internet.

Recursive (Caching) Nameserver ("Resolver") nehmen Anfragen von Clients entgegen, fragen die relevanten autoritativen Nameserver und leiten die Antworten an die Kunden weiter. Antworten werden auch zwischengespeichert und für andere Anfragen wiederverwendet.

Es ist seit längerem bekannt, dass sich diese Caches durch gezieltes Fälschen von Antwortpaketen manipulieren lassen. Siehe etwa draft-ietf-dnsext-forgery-resilience.

Das neu entdeckte Angriffsmuster reduziert den Aufwand für einen erfolgreichen Angriff signifikant. Damit ist dies keine theoretische Schwachstelle mehr; "cache poisoning" ist somit machbar geworden.

Es wurde daher notwendig, alle verfügbaren Verteidigungsmechanismen einzusetzen, dazu gehört auch Source Port Randomization. Dieses Feature wurde in der letzten Zeit in Nameserversoftware eingebaut.

Auswirkungen

Ein erfolgreichen Cache Poisoning Angriff führt dazu, dass der Nameserver falsche Daten an seine Clients liefert. Ist der Nameserver der eines grossen ISPs oder einer grösseren Organisation, so kann ein einzelner erfolgreicher Angriff viele Clients betreffen.

Falsche DNS Antworten bewirken typischerweise, dass falsche IP Adressen für nachfolgenden Verbindungen verwendet werden. Das kann unter anderem folgende Auswirkungen haben:

  • Denial of Service
  • Falls die falschen Adressen nicht antworten.
  • Webbrowser werden auf falsche Webserver geleitet.
  • Ziele u.A.: phishing, malware Verteilung, Spionage, Fehlinformationen, ...
  • Ausgehende Mail wird an falsche Mailserver übergeben.
  • Ziele: Abfangen / Abhören von e-mail. Damit lassen sich auch manche Verifikationsverfahren von Certification Authorities für X.509 Zertifikate angreifen.
  • Webbrowser nutzen auf falsche Proxyserver
  • Ziel: Mitschneiden des Webverkehrs
  • ...

Betroffene Systeme

Direkt alle recursive Nameserver, indirekt alle deren Clients da diese den Antworten ihrer Nameserver vertrauen.

Abhilfe

Aktuelle Versionen von Nameserversoftware minimieren die Chancen eines Angreifers. Ein Upgrade und das Aktivieren von Source Port Randomization ist daher dringend angeraten.

Für BIND siehe:
http://www.isc.org/index.pl?/sw/bind/bind-security.php
http://www.debian.org/security/2008/dsa-1603

Für Microsoft siehe:
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx

Für Nominum CNS siehe:
http://nominum.com/asset_upload_file741_2661.pdf

Bei PowerDNS, MaraDNS und Unbound ist das schon jetzt Standard, es sind keine Updates nötig.

Update (2008/07/24)

Details zu diesem Angriff sind jetzt publik geworden, und Code zum Ausnutzen der Schwachstelle wurde auch schon publiziert. Wir raten daher dringendst, die empfohlenden Updates einzuspielen.

CERT.at hat einen Report über den Status der Absicherung der Nameserver veröffentlicht.


Informationsquelle(n):

US-CERT Advisory
http://www.kb.cert.org/vuls/id/800113
Securosis Blog
http://securosis.com/2008/07/08/dan-kaminsky-discovers-fundamental-issue-in-dns-massive-multivendor-patch-released/