Public DENIC mailinglist

[DENICpresse <presse AT denic.de>]

Sehr geehrte Damen und Herren, 

in den letzten Tagen ist von allen namhaften Herstellern von DNS-Software 
sowie diversen Incident Response Teams (CERTs) auf ein aktuelles 
DNS-Problem hingewiesen worden, wodurch Nameservern verfälschte 
Informationen untergeschoben werden könnten. Die DENIC möchte Sie 
nachfolgend über die Hintergründe informieren, ihre Sicht auf das Problem 
darstellen und Handlungsoptionen für die Betreiber von Nameservern 
aufzeigen.

Die beschriebene Schwachstelle betrifft viele rekursive Nameserver. Es 
handelt sich dabei um Programme, die für Auflösung von Rechnernamen in 
IP-Adressen zuständig sind. Die entsprechende Information wird nicht nur 
direkt an das anfragende Programm (etwa einen Webbrowser) weitergegeben, 
sondern eine Zeit lang im Cache, dem Zwischenspeicher des Nameservers, 
bereitgehalten. Durch die Lücke können Angreifer in den Cache von 
ungeschützten rekursiven Nameservern falsche Daten für bestimmte Domains 
einfügen. Da der Inhalt bildlich „vergiftet“ wird, spricht man an dieser 
Stelle von „Cache Poisoning“.

Ziel eines solchen Angriffs könnte es sein, Internetnutzer auf gefälschte 
Webseiten umzulenken (ähnlich wie beim sogenannten Phishing), ohne dass 
der Nutzer einem gefälschten URL folgen müsste. Der Angreifer gelangt so 
möglicherweise in den Besitz von Nutzerkennungen und Passwörtern oder 
anderen wertvollen Informationen.

Die DENIC kann derzeit keine Angaben zur Natur der konkreten 
Angriffsmethode machen. Dan Kaminsky, ein Sicherheitsexperte, der bereits 
mehrfach über das DNS publiziert hat, wird die Details auf der 
Blackhat-Konferenz am 6. August 2008 vorstellen. 

Informationen zum allgemeinen technischen Hintergrund des 
Angriffsszenarios haben wir unserer Webseite (
http://www.denic.de/de/domains/technik/resolver.html) zusammengestellt. 

Cache Poisoning ist grundsätzlich ein lange bekanntes Problem im DNS, das 
sich aus dessen Design ergibt. Man hat im Laufe der Jahre daher diverse 
Methoden der Härtung von Resolvern entwickelt und die Software dadurch 
weniger anfällig gemacht. So sind seit langem keine Vorfälle bekannt, in 
denen Cache Poisoning eine Rolle gespielt hätte. Um auch das aktuelle 
Problem zu bekämpfen, haben alle Hersteller von Nameservern kurzfristig 
Patches für ihre Systeme veröffentlicht, die es den Angreifern deutlich 
schwerer machen, den Cache der Nameserver mit falschen IP-Adressen „zu 
vergiften“. Hierzu wird der Port, von dem der Resolver seine Abfrage 
sendet, zufällig ausgewählt (sogenanntes „source port randomization“). Der 
Angreifer muss dann nicht nur die Transaktionsnummer der Anfrage, sondern 
zusätzlich den richtigen Port ausfindig machen, um seine gefälschte 
Antwort im Cache unterzubringen.

Es liegen zwar noch keine Erkenntnisse darüber vor, dass die 
Sicherheitslücke tatsächlich schon ausgenutzt wurde, aber die öffentliche 
Diskussion darüber kann die Wahrscheinlichkeit dafür erhöhen. Die DENIC 
empfiehlt daher allen Betreibern von rekursiven Nameservern, im Interesse 
der Nutzer und der Sicherheit und Stabilität des DNS im Ganzen, sich mit 
ihrem Softwarelieferanten in Verbindung zu setzen und die von ihnen 
eingesetzten Programme schnellstmöglich auf den neuesten Stand zu bringen. 


Mit freundlichen Grüßen

Klaus Herzig
-- 

DENIC eG
Pressestelle/Public Relations
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY
Fon: +49 69 27235-274 
Fax: +49 69 27235-235
E-Mail: presse AT denic.de
http://www.denic.de

Sitz: Frankfurt am Main
Eingetragen unter Nr. 770 im Genossenschaftsregister beim Amtsgericht 
Frankfurt am Main
Vorstand: Sabine Dolderer, Marcus Schäfer, Carsten Schiefner, Dr. Jörg 
Schweiger
Vorsitzender des Aufsichtsrats: Elmar Knipp