Az új DNS-támadásra felszabaduló támadási kód

A hackerek kiadták a szoftvert kihasználja a nemrégiben felfedezett hibát a Domain Name System (DNS) szoftverben, amely az internetes számítógépek közötti üzenetek továbbítására szolgál.

A támadási kód megjelent szerdán a Metasploit hacker eszközkészlet fejlesztői között.

Az internetes biztonsági szakértők figyelmeztetik, hogy ez kód a bűnözők számára lehetővé teszi, hogy gyakorlatilag észrevétlen adathalász támadást indítsanak azokkal az internetszolgáltatókkal szemben, akiknek a szolgáltatók nem telepítették a legfrissebb DNS-kiszolgáló javításokat.

[További olvasmány: A legjobb NAS-dobozok a média közvetítéséhez és mentéséhez]

A támadók is használhatják a kód, hogy csendben átirányítsa a felhasználókat a hamis szoftverfrissítési kiszolgálókra, hogy rosszindulatú szoftvert telepítsenek a számítógépükre - mondta Zulfikar Ramizan, a Symantec biztonsági gyártójának műszaki igazgatója. "Az egész dolog tényleg ijesztővé teszi, hogy a végfelhasználók szemszögéből néha semmit sem észlelnek" - mondta.

A hibát először az IOActive kutatója, Dan Kaminsky mutatta be a hónap elején, de a hiba technikai részletei a hét elején kiszivárgott az internetre, így lehetséges a Metasploit kód. Kaminsky már több hónapon keresztül dolgozott a DNS-szoftverek jelentős szereplőivel, mint a Microsoft, a Cisco és az Internet Systems Consortium (ISC). A vállalati felhasználók és az internetszolgáltatók, akik a legjelentősebb DNS-kiszolgálók, július 8-tól korrigálták a hibát, de sokan még nem telepítették a javításokat az összes DNS-kiszolgálóra.

A támadás egy olyan változat, egy gyorsítótár mérgezést. Ez azzal jár, hogy a DNS-ügyfelek és -szerverek információkat szerezzenek az interneten található más DNS-kiszolgálókról. Ha a DNS-szoftver nem ismeri a számítógép numerikus IP-címét (Internet Protocol), akkor egy másik DNS-kiszolgálót kér az információért. A gyorsítótár mérgezésével a támadó megpróbálja a DNS-szoftvert úgy hinni, hogy a legitim domainek, mint például az idg.com, rosszindulatú IP-címeket mutatnak be.

Kaminsky támadásában a gyorsítótár mérgezési kísérlet tartalmazza a "További erőforrás rekord". Ezeket az adatokat a támadás sokkal hatékonyabbá teszi, mondják a biztonsági szakértők.

A támadó ilyen támadást indíthat az ISP (Internet Service Provider) domain név szervereivel szemben, majd átirányíthatja őket rosszindulatú szerverekre. A www.citibank.com domain név rekord mérgezésével például a támadók átirányíthatják az internetszolgáltatókat egy rosszindulatú adathalász-kiszolgálóra minden alkalommal, amikor megpróbálták meglátogatni a banki webhelyet böngészővel.

Hétfőn a biztonsági cég Matasano véletlenül közzétette a hiányosság részleteit a webhelyén. Matasano gyorsan eltávolította a posztot, és bocsánatot kért a hibájából, de késő volt. A hiba részletei hamarosan elterjedtek az interneten.

Noha a legtöbb DNS-szoftver felhasználója szoftverfrissítést kínál, időbe telhet, hogy ezek a frissítések végigmenjenek a tesztelési folyamaton és ténylegesen telepítsék a hálózaton.

"A legtöbb ember még nem javított" - mondta Paul Vixie, az ISC elnöke egy e-mail interjúban a hét elején. "Ez egy gigantikus probléma a világ számára."

Metasploit kódja "nagyon valóságosnak" tűnik, és olyan technikákat használ, amelyek korábban nem voltak dokumentálva. Amit Klein, a Trusteer technológiai vezetője.

megjósolta. "Most, hogy a kizsákmányolás ott van, kombinálva azzal, hogy nem minden DNS-kiszolgálót frissítettek … a támadóknak képesnek kell lenniük megmérni egyes internetszolgáltatók gyorsítótárát" - írta e-mail interjújában. "Az a dolog az, hogy soha nem fogunk tudni az ilyen támadásokról, ha a támadók … gondosan dolgoznak, és megfelelően fedik le a számokat."