China Netcom Falls Prey για DNS Cache δηλητηρίαση

Ένας από τους μεγαλύτερους ISP της Κίνας (πάροχοι υπηρεσιών Διαδικτύου) έχει πέσει θύμα μιας επικίνδυνης ευπάθειας στο σύστημα επικοινωνίας του Διαδικτύου, σύμφωνα με τον πωλητή ασφάλειας Websense.

Το ελάττωμα, το οποίο χαρακτηρίστηκε ως ένα από τα πιο σοβαρά το Διαδίκτυο, μπορεί να προκαλέσει την επαναπροσανατολισμό των χρηστών του Διαδικτύου σε δόλιες τοποθεσίες Web, ακόμη και αν η διεύθυνση URL (Uniform Resource Locator) έχει πληκτρολογηθεί σωστά στη γραμμή διεύθυνσης του προγράμματος περιήγησης.

Το πρόβλημα εντοπίζεται από τον ερευνητή ασφαλείας Dan Dan Kaminsky (Σύστημα ονομάτων τομέα). Όταν ένας χρήστης πληκτρολογεί μια διεύθυνση Web σε ένα πρόγραμμα περιήγησης, το αίτημα πηγαίνει σε ένα διακομιστή DNS ή σε μια προσωρινή μνήμη, η οποία επιστρέφει την αντίστοιχη διεύθυνση IP (πρωτόκολλο Internet) για μια τοποθεσία Web.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας των Windows]

Αλλά το ελάττωμα επιτρέπει στον διακομιστή DNS να γεμίσει με λανθασμένες πληροφορίες και να κατευθύνει τους χρήστες σε κακόβουλες τοποθεσίες Web. Η επίθεση της Κίνας Netcom είναι ιδιαίτερα ενδιαφέρουσα, διότι επηρεάζει μόνο όσους διαγράφουν λάθη σε συγκεκριμένες διευθύνσεις URL, δήλωσε ο Carl Leonard, διευθυντής έρευνας για την ασφάλεια στο ευρωπαϊκό εργαστήριο Websense.

Το τελευταίο hack ανακαλύφθηκε από το εργαστήριο του Websense στο Πεκίνο, ορισμένοι ερευνητές των οποίων χρησιμοποιούν την China Netcom τους ISP, δήλωσε ο Leonard. Το Websense έχει δει άλλες επιθέσεις DNS, αλλά επέλεξε να δημοσιοποιήσει αυτό το συγκεκριμένο λόγω της ενδιαφέρουσας εκτέλεσης του, δήλωσε.

Οι χάκερ έχουν παραποιήσει έναν από τους διακομιστές DNS της China Netcom για να ανακατευθύνουν μόνο τους χρήστες που πληκτρολογούν, για παράδειγμα, το gogle.cn από το google.cn. Με αυτόν τον τρόπο, λιγότεροι χρήστες κατευθύνονται σε κακόβουλες τοποθεσίες Web, αλλά η στρατηγική είναι να κρατηθούν οι επιθέσεις με χαμηλότερο προφίλ ώστε να μην εγείρεται προσοχή.

"Οι συντάκτες malcode προσπαθούν να κρατήσουν κάτω από το ραντάρ", δήλωσε ο Leonard.

Τα θύματα μεταφέρονται σε κακόβουλες τοποθεσίες Web - ορισμένες από τις οποίες εξακολουθούν να είναι ενεργές - που προσπαθούν να εκμεταλλευτούν γνωστές ευπάθειες σε λογισμικό όπως το RealPlayer πολυμεσικό πρόγραμμα αναπαραγωγής RealNetworks και το Adobe Flash Player.

Μια άλλη εκμετάλλευση επιχειρεί να εκμεταλλευτεί ένα πρόβλημα με ένα στοιχείο ελέγχου ActiveX για το Snapshot Viewer της Microsoft, το οποίο χρησιμοποιείται για την προβολή αναφορών για Microsoft Access, ενός προγράμματος σχεσιακής βάσης δεδομένων.

Παρόλο που τα Adobe, Microsoft και RealPlayer έχουν δημοσιεύσει επιδιορθώσεις για ορισμένες από αυτές τις ευπάθειες, οι χάκερ εξακολουθούν να βλέπουν ευκαιρίες. «Αν η εκμετάλλευση είναι επιτυχημένη, ο υπολογιστής θα κατεβάσει ένα πρόγραμμα για δούρειους ίππους που θα κλείνει τις ενημερώσεις για λογισμικό προστασίας από ιούς», δήλωσε ο Leonard. Το Websense έχει ειδοποιήσει την China Netcom αλλά δεν είναι βέβαιος αν ο διακομιστής DNS έχει τροποποιηθεί.

Ο Kaminsky και άλλοι ερευνητές συντόνισαν μια τεράστια μυστική εκστρατεία με τους πωλητές για να διορθώσουν το λογισμικό DNS, αλλά λεπτομέρειες σχετικά με τον τρόπο εκμετάλλευσης του σφάλματος είχαν διαρρεύσει στις 21 Ιουλίου Ωστόσο, δεν έχουν ακόμη επιδιορθωθεί όλοι οι ISP, θέτοντας ορισμένους χρήστες σε κίνδυνο. Επίσης, τα διαθέσιμα patches απλώς μειώνουν την πιθανότητα επιτυχίας μιας επίθεσης αντί να εξασφαλίζουν εντελώς έναν διακομιστή DNS από μια επίθεση, δήλωσε ο Leonard.

«Πρέπει να υπάρξει μια πιο μακροπρόθεσμη λύση», δήλωσε ο Leonard. >