DNS-Problem: Vorsicht bei Softwareupdates (und Online-Banking)

[Touji]

Telekom hinkt mit DNS-Sicherheitspatch hinterher

Nicht nur die US-amerikanischen ISPs haben Medienberichten zufolge ihre Nameserver noch nicht gepatcht, auch einige der großen deutschen Internet-Anbieter betreiben offenbar noch verwundbare Systeme. Bei Tests von heise Security zeigte sich, dass etwa Nameserver der Telekom und von Kabel Deutschland noch nicht gepatcht sind. Damit lassen sich die Caches der Nameserver manipulieren, sofern die Betreiber nicht weitere Sicherheitsmaßnahmen ergriffen haben und beispielsweise explizit die Caches ihrer Systeme mit speziellen Tools überwachen.

Nach Angaben von Telekom-Sprecher Domagala arbeite man zusammen mit dem Hersteller an der Lösung des Problems. Erste Systeme seien auch bereits gepatcht, den Rest wolle man nach weiteren Analysen aktualisieren, einen konkreten Zeitraum konnte Domagala jedoch nicht nennen. Der Patch-Verzug trifft aber nicht nur Kunden der Telekom. Auch Kunden von 1&1 sind betroffen, weil 1&1 die Infrastruktur der Telekom teilweise mitbenutzt.

Andreas Maurer von 1&1 gab gegenüber heise Security indes an, dass seit dem 23. Juli alle rekursiv arbeitenden Nameserver von 1&1 gepatcht seien. Zudem nutze 1&1 Netze und Systeme von Arcor und QSC, die aber bereits reagiert und die Updates installiert haben. Auch Freenet ist nicht verwundbar. Grundsätzlich sind also nur Kunden der Telekom betroffen, dazu gehört auch Congstar.

Heute ist bereits ein Tool erschienen, mit dem Vandalen über gefälschte Update-Server versuchen können, die PCs von Opfern mit Schädlingen zu infizieren. Das Tool evilgrade vergiftet dazu den Cache laut Beschreibung mit falschen IP-Adressen für die Update-Server von Winzip, Winamp, MacOS, OpenOffice, iTunes, die LinkedIn Toolbar, DAP (Download Accelerator), notepad++, speedbit und das Java-Plug-in für Browser. Wer versucht, seine Software zu aktualisieren, bekommt Malware untergeschoben. Damit gibt es neben den ersten in der vergangenen Woche gestarteten Angriffen schon gezielte Angriffe.

Aus Sicherheitsgründen empfehlen Dienstleister daher auch den ursprünglichen Tipp von Dan Kamsinsky zu befolgen, alternative Domain Name Systems wie OpenDNS zu nutzen. OpenDNS arbeitet wie ein den offiziellen Root-Nameservern vorgeschalteter Filter, der jedoch den anerkannten Namensraum nicht manipuliert. Die OpenDNS-Server sollen die Anfrage nach bekannten Phishing-Servern erkennen und Anwender auf Warnseiten umleiten und sind nach eigenen Angaben immun gegen die bekannten Cache-Poisoning-Angriffe.

Im Wesentlichen müssen alle rekursiv arbeitenden Caching Nameserver aktualisiert werden, autorative Systeme sind nicht verwundbar. Darüber hinaus erfordern auch DNS-Clients ein Update, weil sie prinzipiell ebenfalls angreifbar sind, aktuell aber noch nicht im Fokus stehen – was sich aber ändern kann. Zusätzlich sollten sich Administratoren anschauen, ob eine externe Firewall oder ein NAT-Router möglicherweise die Wirkungsweise des Patches zunichte macht und die zufälligen Ports des Nameservers für externe Verbindungen aus bestimmten Gründen nur über einen Port abwickelt.

Quelle: Heise Online

Betrifft zur Zeit die Update-Funktionen folgender Software. Die Liste kann sich aber jederzeit ändern/erweitern:

-Java-Plugins gängiger Browser
-Winzip
-Winamp
-MacOS
-OpenOffice
-iTunes
-LinkedIn Toolbar
-DAP (Download Accelerator)
-Notepad++
-Speedbit

Wenn man eine Seite im Browser aufruft, gibt man meist Adressen bestehend aus Buchstaben und Zahlen ein, z. B.: www.united-forum.de

Diese Schreibweise ist allerdings nur dazu gedacht die Adressen für Menschen einprägsamer zu machen, die eigentliche (IP-)Adresse ist eine Zahl, z. B.: 85.214.87.93

DNS-Server führen eine Datenbank mit den für Menschen gedachten Adressen und den dazugehörigen IP-Adressen. Wenn man also www.united-forum.de aufruft kontaktiert der Computer einen DNS-Server des Providers, um von diesem die IP-Adresse (85.214.87.93) zu erhalten. Dieser Vorgang nennt sich Namensauflösung.

Nun wurde vor einiger Zeit eine Möglichkeit gefunden diese Namensauflösung in der Form zu manipulieren, dass die Nutzer auf einem anderen Server landen als den für die die Adresse eigentlich gedacht war. Es wird nach dem Aufruf einer Adresse also die falsche IP-Adresse zurückgesendet.

Dies ließe sich z. B. nutzen um Internetnutzer statt zur Seite ihrer Bank zu der von einer Phishing-Bande oder statt zu Google zu einer Seite die ihnen Schadsoftware unterschiebt zu führen und das obwohl die Nutzer die korrekte Adresse eingegeben haben.

Seit kurzem gibt es noch ein Programm, welches dazu benutzt werden kann, den Nutzern oben aufgelisteter Programme statt Software-Updates Schadsoftware unterzuschieben.

Schon seit ein paar Wochen gibt es Updates, welche die Provider auf ihre DNS-Server einspielen sollen und die dieses Problem beheben. Allerdings sind zur Zeit längst noch nicht alle Server gepatcht.


http://www.doxpara.com/
Auf der Seite kann man Testen ob der eigene DNS-Server schon gepatcht wurde ("DNS-Checker" oben rechts).

 

[Warbringer]

Gut zu wissen, danke für den Hinweis!