Angrebskode frigivet til nyt DNS-angreb

Hackere har udgivet software, der udnytter en nyligt afsløret fejl i Domain Name System (DNS) -softwaren, der bruges til at lede meddelelser mellem computere på internettet.

Angrebskoden blev udgivet onsdag af udviklere af Metasploit hacking toolkit.

Internet sikkerhed eksperter advarer om, at dette kode kan give kriminelle mulighed for at starte næsten uopdagelige phishing-angreb mod internetbrugere, hvis tjenesteudbydere ikke har installeret de nyeste DNS-server-patches.

[Yderligere læsning: Bedste NAS-kasser til streaming og backup af medier]

Attackere kunne også bruge koden for at omdirigere brugere til falske softwareopdateringsservere for at installere skadelig software på deres computere, siger Zulfikar Ramizan, en teknisk direktør med sikkerhedsleverandøren Symantec. "Hvad gør hele denne ting virkelig skræmmende er, at de fra et slutbrugerperspektiv måske ikke bemærker noget," sagde han.

Buggen blev først oplyst af IOActive forsker Dan Kaminsky tidligere i måneden, men tekniske detaljer om fejlen var lækket ud på internettet tidligere i ugen, hvilket gør Metasploit-koden mulig. Kaminsky havde arbejdet i flere måneder med store udbydere af DNS-software som Microsoft, Cisco og Internet Systems Consortium (ISC) for at udvikle en løsning på problemet. Virksomhedsbrugere og internetudbydere, der er de største brugere af DNS-servere, har siden 8. juli løst fejlen, men mange har endnu ikke installeret rettelsen på alle DNS-servere.

Angrebet er en variation af, hvad der er kendt som et cacheforgiftningsangreb. Det har at gøre med måden DNS-klienter og servere får information fra andre DNS-servere på internettet. Når DNS-softwaren ikke kender den numeriske IP-adresse (Internet Protocol) til en computer, spørger den en anden DNS-server til disse oplysninger. Ved cacheforgiftning trænger angriberen til DNS-softwaren til at tro på, at legitime domæner, såsom idg.com, kortlægger ondsindede IP-adresser.

I Kaminsky's angreb indeholder et cacheforgiftningsforsøg også, hvad der er kendt som "Additional Resource Record" -data. Ved at tilføje disse data bliver angrebet meget kraftigere, siger sikkerhedseksperter.

En angriber kan starte et sådant angreb mod en internetudbyder (Internet Service Provider) domænenaverservere og derefter omdirigere dem til ondsindede servere. Ved at forgifte domænenavnet rekord for www.citibank.com, kunne angriberne omdirigere internetudbyderens brugere til en ondsindet phishing-server hver gang de forsøgte at besøge banksiden med deres webbrowser.

På mandag blev sikkerhedsvirksomheden Matasano udsendte ved et uheld oplysninger om fejlen på sit websted. Matasano fjernede hurtigt stillingen og undskyldte for sin fejltagelse, men det var for sent. Detaljer om fejlen spredes snart på internettet.

Selvom en software-løsning nu er tilgængelig for de fleste brugere af DNS-software, kan det tage tid for disse opdateringer at arbejde deres vej gennem testprocessen og faktisk blive installeret på netværket.

"De fleste mennesker har ikke patched endnu," sagde ISC-præsident Paul Vixie i et e-mail-interview tidligere i ugen. "Det er et gigantisk problem for verden."

Metasploits kode ser meget rigtig ud, og bruger teknikker, der ikke tidligere blev dokumenteret, siger Amit Klein, chefstekniker med Trusteer.

Det vil sandsynligvis blive brugt i angreb, han forudsagde. "Nu hvor udnyttelsen er derude kombineret med, at ikke alle DNS-servere blev opgraderet, skulle angriberne kunne forbyde cache af nogle internetudbydere", skrev han i et e-mail-interview. "Sagen er - vi kan aldrig vide om sådanne angreb, hvis angriberne … arbejder omhyggeligt og dækker deres spor korrekt."