Der DNS-Eisberg - Systemübernahme nach Kaminskys Art

vulnerability

Versteckte DNS-Resolver und wie sie tausende Systemübernahmen ermöglichen

Das SEC Consult Vulnerability Lab hat zahlreiche geschlossene DNS-Resolver von ISPs und Hosting-Providern entdeckt, die gegenüber Kaminsky-Angriffen verwundbar sind. Dadurch kann ein Angreifer die DNS-Namensauflösung von tausenden Systemen manipulieren. Als Folge dessen sind E-Mail-Umleitungen, Account-Takeovers und sogar Übernahmen von gesamten Systemen möglich. Geschlossene DNS-Resolver weltweit sind betroffen.

 

Doch was hat das DNS mit einem Eisberg gemeinsam? Es versteckt sich bei beiden eine unsichtbare Bedrohung! Bei Eisbergen versteckt sich zwar nur noch mehr Eis, beim DNS hingegen verstecken sich bis jetzt ungeahnte Schwachstellen.
Will man einen Namen mit dem DNS auflösen, so bieten sich im Internet mehrere offene DNS-Resolver dazu an. Sehr bekannt ist zum Beispiel Googles DNS-Resolver, der unter der IP-Adresse 8.8.8.8 erreichbar ist. Doch nicht jedes System verwendet diese offenen Resolver. Hosting-Provider, ISPs oder Unternehmen verwenden oft DNS-Resolver, die nicht direkt aus dem Internet erreichbar sind und deswegen als "geschlossen" bezeichnet werden.
In unserem letzten DNS-Blogpost "Passwort vergessen? Account-Takeover über das DNS" haben wir diese geschlossenen DNS-Resolver bereits angeschnitten, aber jetzt haben wir sie gezielt unter die Lupe genommen, um zu sehen, was unterhalb des DNS-Resolver-Eisbergs schlummert!

Unter 7000 analysierten Domänen wurden so 25 verwundbare DNS-Resolver entdeckt. Da diese 25 DNS-Resolver von mehreren tausenden Servern bzw. Domains verwendet werden, können DNS-Angriffe im großen Stil ausgenutzt werden, um entsprechend viele Benutzer oder sogar Systeme zu übernehmen.
Einen tieferen Blick in diese Thematik werfen wir in unserem englischen Blogpost. Open-Source-Tools zum Finden von Schwachstellen in DNS-Resolvern werden auf GitHub bereitgestellt.

Bin ich betroffen?

Wie kann ich mich schützen?

Sollte ich Ausschau nach DNS-Schwachstellen halten?

Diese und weitere Fragen werden in folgendem FAQ beantwortet!

 

Häufige Fragen (FAQ)

Wir dachten wir wären die Ersten. Nachdem wir jedoch etwas Literatur durchforstet hatten, stellten wir fest, dass erste Tests bereits im Jahr 2018 durchgeführt wurden [2]. Allerdings wurden keine anfälligen Resolver entdeckt. In einem Paper aus dem Jahr 2020 [1] wurden Closed Resolver erneut durch IP-Spoofing interner IP-Adressen getestet. Die Zahlen aus diesem Papier sind ungefähr die gleichen wie unsere.

Ja, definitiv, da die Manipulation der DNS-Namensauflösung bis zur Systemübernahme führen kann. Praktischerweise kann eine Überprüfung mit einem bereits aufgesetzten DNS-Analysis-Server schnell durchgeführt werden.

Falls Unsicherheit über verwendete DNS-Resolver und die DNS-Infrastruktur im Allgemeinen besteht, lässt sich das am einfachsten mit dem DNS Analysis Server herausfinden!

Um diesen Angriffsvektor zu verhindern, sollte in erster Linie die DNS-Infrastruktur gesichert werden. Einige Best Practices zur Absicherung Ihrer eigenen DNS-Resolver finden Sie bei Google und dem DNS flag day. Auch große öffentliche DNS-Anbieter wie  GoogleCloudflare oder Cisco können genutzt werden. Gegenmaßnahmen für neue DNS-Angriffe (mehr Details unter "Countermeasures for new DNS attacks") werden von diesen großen Anbietern meist schnell umgesetzt.

Ob nach Sicherung der DNS-Infrastruktur noch Schwachstellen bestehen, kann mit dem DNS-Analyse-Server (mehr unter DNS Analysis Server) überprüft werden.

Ja! Erstens ist es aufgrund der vielen Daten, die wir durchgegangen sind, ziemlich wahrscheinlich, dass wir einige anfällige Resolver übersehen haben. Außerdem wurden E-Mails an höchstwahrscheinlich nicht existierende E-Mail-Adressen (z. B. test@opfer.beispiel) gesendet. Je nach E-Mail-Server löst dies möglicherweise keine DNS-Auflösung unserer Absender-/Analysedomäne aus.

Von den 25 anfälligen Resolvern wurden nur 2 als offen zugänglich bestätigt. Dies stützt die anfängliche Hypothese, dass anfällige Resolver eher geschlossen werden. (Beachten Sie, dass 35 % der analysierten Resolver als offen und 65 % als geschlossen bestätigt wurden).

Hier: https://sec-consult.com/blog/detail/forgot-password-taking-over-user-accounts-kaminsky-style/

Über den Autor

[Translate to German:] Portrait of Timo Longin SEC Consult
Timo Longin
SEC Consult
Senior Security Consultant

Timo Longin (auch bekannt als Login) ist tagsüber Senior Security Consultant bei SEC Consult und nachts Sicherheitsforscher. Neben alltäglichen Sicherheitsüberprüfungen für Kunden veröffentlicht er Blogbeiträge und Sicherheitstools, hält Vorträge auf Konferenzen und Universitäten und hat eine Leidenschaft für CTFs. Als vielseitiger, offensiver Sicherheitsforscher versucht er, vergessene und neue Schwachstellen zu identifizieren, die das Undenkbare möglich machen!

Zurück