Kod ataku dla nowego ataku DNS

Hakerzy wydali oprogramowanie, które wykorzystuje niedawno ujawnioną lukę w oprogramowaniu Domain Name System (DNS) używanym do kierowania wiadomości między komputerami w Internecie.

Kod ataku został wydany w środę przez twórców zestawu narzędzi hackowania Metasploit.

Eksperci ds. bezpieczeństwa w Internecie ostrzegają, że kod może dać przestępcom możliwość przeprowadzenia praktycznie niewykrywalnych ataków phishingowych na użytkowników Internetu, których dostawcy usług nie zainstalowali najnowszych poprawek do serwerów DNS.

[Więcej informacji: Najlepsze pudełka NAS do strumieniowego przesyłania multimediów i kopii zapasowych]

Atakujący mogą również użyć kod po cichu przekierowuje użytkowników do fałszywych serwerów aktualizacji oprogramowania w celu zainstalowania złośliwego oprogramowania na swoich komputerach, powiedział Zulfikar Ramizan, dyrektor techniczny firmy Symantec zajmującej się bezpieczeństwem. "To, co sprawia, że ​​cała ta sprawa jest naprawdę przerażająca, to fakt, że z punktu widzenia użytkownika końcowego mogą niczego nie zauważyć" - powiedział.

Błąd został po raz pierwszy ujawniony przez badacza IOActive, Dana Kaminsky'ego na początku tego miesiąca, ale szczegóły techniczne usterki wyciekły do ​​Internetu na początku tego tygodnia, dzięki czemu możliwy jest kod Metasploit. Przez kilka miesięcy Kaminsky pracował z dużymi dostawcami oprogramowania DNS, takimi jak Microsoft, Cisco i Internet Systems Consortium (ISC), aby opracować rozwiązanie tego problemu. Użytkownicy korporacyjni i dostawcy usług internetowych, którzy są głównymi użytkownikami serwerów DNS, mają od 8 lipca łatkę, ale wiele jeszcze nie zainstalowało poprawki na wszystkich serwerach DNS.

Atak jest odmianą tego, co jest znane jako atak zatrucia w pamięci podręcznej. Ma to związek ze sposobem, w jaki klienci i serwery DNS uzyskują informacje z innych serwerów DNS w Internecie. Gdy oprogramowanie DNS nie zna numerycznego adresu IP (Internet Protocol) komputera, prosi o inny serwer DNS dla tych informacji. Przy zatruwaniu pamięci podręcznej atakujący wyszukuje oprogramowanie DNS, aby uwierzyć, że legalne domeny, takie jak idg.com, są mapowane na złośliwe adresy IP.

W ataku Kaminsky'ego próba zatrucia pamięci podręcznej obejmuje również dane zwane "Dane dodatkowego zasobu". Dodając te dane, atak staje się znacznie potężniejszy, mówią eksperci ds. Bezpieczeństwa.

Osoba atakująca może przeprowadzić taki atak przeciwko serwerom nazw domen internetowych usługodawcy internetowego, a następnie przekierować je na złośliwe serwery. Na przykład, zatruwając rekord nazwy domeny dla www.citibank.com, atakujący mogli przekierować użytkowników ISP do złośliwego serwera phishingowego za każdym razem, gdy próbowali odwiedzić witrynę bankową za pomocą przeglądarki internetowej.

W poniedziałek firma ochroniarska Matasano przypadkowo opublikował szczegóły usterki na swojej stronie internetowej. Matasano szybko usunął post i przeprosił za swój błąd, ale było już za późno. Szczegóły dotyczące luki wkrótce rozprzestrzenią się w Internecie.

Chociaż poprawka oprogramowania jest już dostępna dla większości użytkowników oprogramowania DNS, może to zabrać trochę czasu, zanim te aktualizacje przejdą przez proces testowania i faktycznie zostaną zainstalowane w sieci.

"Większość ludzi jeszcze nie załatała" - powiedział prelegent ISC Paul Vixie w wywiadzie mailowym na początku tego tygodnia. "To gigantyczny problem dla świata."

Kod Metasploit wygląda "bardzo realnie" i używa technik, których wcześniej nie udokumentowano, powiedział Amit Klein, główny technolog ds. Technologii z Trusteer.

Prawdopodobnie będzie używany w atakach, przepowiedział. "Teraz, gdy exploit jest dostępny, w połączeniu z faktem, że nie wszystkie serwery DNS zostały uaktualnione … atakujący powinni być w stanie zatruć pamięć podręczną niektórych ISP", napisał w wywiadzie e-mail. "Chodzi o to, że możemy nigdy nie dowiedzieć się o takich atakach, jeśli napastnicy … pracują ostrożnie i właściwie zakrywają ich ślady."