Ο κώδικας επίθεσης έχει κυκλοφορήσει για νέα επίθεση DNS

Οι χάκερ έχουν κυκλοφορήσει λογισμικό που εκμεταλλεύεται ένα ελάττωμα που αποκαλύφθηκε πρόσφατα στο λογισμικό DNS (Domain Name System) που χρησιμοποιείται για τη δρομολόγηση μηνυμάτων μεταξύ υπολογιστών στο Διαδίκτυο.

Ο κώδικας επίθεσης κυκλοφόρησε την Τετάρτη από τους προγραμματιστές του εργαλείου hacking Metasploit

. ο κώδικας μπορεί να δώσει στους εγκληματίες έναν τρόπο να ξεκινήσουν ουσιαστικά μη ανιχνεύσιμες επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing) σε χρήστες του Διαδικτύου των οποίων οι πάροχοι υπηρεσιών δεν έχουν εγκαταστήσει τις πιο πρόσφατες ενημερώσεις κώδικα DNS.

ο κώδικας για να ανακατευθύνει σιωπηρά τους χρήστες σε ψεύτικους διακομιστές ενημέρωσης λογισμικού, προκειμένου να εγκαταστήσουν κακόβουλο λογισμικό στους υπολογιστές τους, δήλωσε ο Zulfikar Ramizan, τεχνικός διευθυντής με την εταιρία ασφάλειας Symantec. "Αυτό που κάνει όλο αυτό το πράγμα πραγματικά τρομακτικό είναι ότι από την πλευρά των τελικών χρηστών μπορεί να μην παρατηρήσουν τίποτα", ανέφερε.

Το σφάλμα αποκαλύφθηκε για πρώτη φορά από τον IOActive ερευνητή Dan Kaminsky νωρίτερα αυτό το μήνα, αλλά οι τεχνικές λεπτομέρειες του ελαττώματος ήταν διέρρευσαν στο Διαδίκτυο νωρίτερα αυτή την εβδομάδα, καθιστώντας δυνατό τον κώδικα Metasploit. Ο Kaminsky είχε εργαστεί για αρκετούς μήνες με σημαντικούς παρόχους λογισμικού DNS όπως η Microsoft, η Cisco και η Consortium Internet Systems Consortium (ISC) για να αναπτύξουν μια λύση για το πρόβλημα. Οι εταιρικοί χρήστες και οι πάροχοι υπηρεσιών διαδικτύου, οι οποίοι είναι οι κύριοι χρήστες των διακομιστών DNS, είχαν από τις 8 Ιουλίου να διορθώσουν το ελάττωμα, αλλά πολλοί δεν έχουν εγκαταστήσει ακόμα την επιδιόρθωση σε όλους τους διακομιστές DNS.

Η επίθεση είναι μια παραλλαγή σε αυτό που είναι γνωστό ως μια επίθεση δηλητηρίασης από τη μνήμη cache. Έχει σχέση με τον τρόπο με τον οποίο οι πελάτες DNS και οι διακομιστές λαμβάνουν πληροφορίες από άλλους διακομιστές DNS στο Internet. Όταν το λογισμικό DNS δεν γνωρίζει την αριθμητική διεύθυνση IP (Internet Protocol) ενός υπολογιστή, ζητά από έναν άλλο διακομιστή DNS για αυτές τις πληροφορίες. Με την δηλητηρίαση της κρυφής μνήμης, ο εισβολέας κόβει το λογισμικό DNS να πιστέψει ότι οι νόμιμοι τομείς, όπως το idg.com, αντιστοιχούν σε κακόβουλες διευθύνσεις IP.

Στην επίθεση του Kaminsky, μια απόπειρα δηλητηρίασης από τη μνήμη cache περιλαμβάνει επίσης τα στοιχεία που ονομάζονται "Additional Resource Record". Προσθέτοντας αυτά τα δεδομένα, η επίθεση γίνεται πιο ισχυρή, λένε οι ειδικοί της ασφάλειας.

Ένας εισβολέας θα μπορούσε να ξεκινήσει μια τέτοια επίθεση εναντίον των διακομιστών ονομάτων τομέα ISP (Internet Service Provider) και στη συνέχεια να τους ανακατευθύνει σε κακόβουλοι διακομιστές. Με την δηλητηρίαση του αρχείου ονόματος τομέα για το www.citibank.com, για παράδειγμα, οι επιτιθέμενοι θα μπορούσαν να ανακατευθύνουν τους χρήστες του ISP σε έναν κακόβουλο εξυπηρετητή phishing κάθε φορά που προσπάθησαν να επισκεφτούν τον τραπεζικό ιστότοπο με το πρόγραμμα περιήγησης στο Web. Ο Matasano δημοσίευσε τυχαία λεπτομέρειες σχετικά με το ελάττωμα στην τοποθεσία του στο Web. Ο Matasano έκοψε γρήγορα τη θέση και ζήτησε συγνώμη για το λάθος του, αλλά ήταν πολύ αργά. Λεπτομέρειες σχετικά με το ελάττωμα σύντομα διαδόθηκαν στο Internet

Παρόλο που μια λογιστική επιδιόρθωση είναι τώρα διαθέσιμη για τους περισσότερους χρήστες του λογισμικού DNS, μπορεί να χρειαστεί αρκετός χρόνος για αυτές τις ενημερώσεις να ξεπεράσουν τη διαδικασία δοκιμών και να εγκατασταθούν στο δίκτυο.

"Οι περισσότεροι άνθρωποι δεν έχουν επισκευάσει ακόμα", δήλωσε ο Πρόεδρος του ISC Paul Vixie σε μια συνέντευξη ηλεκτρονικού ταχυδρομείου νωρίτερα αυτή την εβδομάδα. "Αυτό είναι ένα τεράστιο πρόβλημα για τον κόσμο."

Ο κώδικας Metasploit φαίνεται "πολύ πραγματικός" και χρησιμοποιεί τεχνικές που δεν είχαν προηγουμένως τεκμηριωθεί, δήλωσε ο Amit Klein, επικεφαλής της τεχνολογίας με την Trusteer. προέβλεψε. "Τώρα που το εκμεταλλευόμενο είναι εκεί έξω, σε συνδυασμό με το γεγονός ότι δεν έχουν αναβαθμιστεί όλοι οι διακομιστές DNS … οι επιτιθέμενοι θα πρέπει να είναι σε θέση να δηλητηριάσουν την κρυφή μνήμη ορισμένων ISP", έγραψε σε μια συνέντευξη μέσω ηλεκτρονικού ταχυδρομείου. "Το πράγμα είναι - ίσως να μην γνωρίζουμε ποτέ τέτοιες επιθέσεις, αν οι επιτιθέμενοι … εργάζονται προσεκτικά και καλύπτουν σωστά τα ίχνη τους."