Aanvalcode vrijgegeven voor nieuwe DNS aanval

Hackers hebben software uitgegeven die maakt gebruik van een recentelijk bekend gebrek in de DNS-software (Domain Name System) voor het routeren van berichten tussen computers op het internet.

De aanvalscode is woensdag vrijgegeven door ontwikkelaars van de Hackset-toolkit.

Internetbeveiligingsdeskundigen waarschuwen dat dit code kan criminelen een manier geven om virtueel niet-detecteerbare phishing-aanvallen uit te voeren tegen internetgebruikers van wie de serviceproviders de nieuwste DNS-serverpatches niet hebben geïnstalleerd.

[Meer lezen: de beste NAS-boxen voor mediastreaming en back-up]

Aanvallers kunnen ook gebruikmaken van de code om gebruikers op een stille manier door te sturen naar nep-software-updateservers om kwaadwillende software op hun computers te installeren, zei Zulfikar Ramizan, een technisch directeur bij beveiligingsleverancier Symantec. "Wat dit hele ding echt eng maakt, is dat het vanuit het oogpunt van de eindgebruiker mogelijk niets opmerkt", zei hij.

De bug werd voor het eerst bekendgemaakt door IOActive-onderzoeker Dan Kaminsky eerder deze maand, maar de technische details van de fout waren eerder deze week op het internet gelekt, waardoor de Metasploit-code mogelijk was. Kaminsky werkte enkele maanden samen met grote leveranciers van DNS-software zoals Microsoft, Cisco en het Internet Systems Consortium (ISC) om een ​​oplossing voor het probleem te ontwikkelen. De zakelijke gebruikers en internetserviceproviders die de belangrijkste gebruikers van DNS-servers zijn, hebben sinds 8 juli een patch om de fout te herstellen, maar veel hebben de oplossing nog niet op alle DNS-servers geïnstalleerd.

De aanval is een variatie op wat bekend staat als een cache-vergiftigingsaanval. Het heeft te maken met de manier waarop DNS-clients en -servers informatie verkrijgen van andere DNS-servers op internet. Wanneer de DNS-software het numerieke IP-adres (Internet Protocol) van een computer niet kent, vraagt ​​het een andere DNS-server om deze informatie. Met cachevergifting misleidt de aanvaller de DNS-software om te geloven dat legitieme domeinen, zoals idg.com, toewijzen aan kwaadwillende IP-adressen.

Een aanvaller kan een dergelijke aanval lanceren op servers van een internetprovider (Internet Service Provider) en deze vervolgens doorsturen naar kwaadwillende servers. Door bijvoorbeeld de domeinnaamrecord voor www.citibank.com te vergiftigen, kunnen de aanvallers de ISP-gebruikers omleiden naar een kwaadwillende phishing-server telkens wanneer ze met hun webbrowser de bankwebsite proberen te bezoeken.

Op maandag, beveiligingsbedrijf Matasano heeft per ongeluk de details van de fout op haar website gepost. Matasano verwijderde snel de post en verontschuldigde zich voor zijn fout, maar het was te laat. Details van de fout verspreiden zich snel over het internet.

Hoewel er nu een softwarefix beschikbaar is voor de meeste gebruikers van DNS-software, kan het even duren voordat deze updates hun weg vinden door het testproces en daadwerkelijk worden geïnstalleerd op het netwerk.

"De meeste mensen hebben nog niet gepatched", zei ISC-president Paul Vixie eerder deze week in een e-mailinterview. "Dat is een gigantisch probleem voor de wereld." Metasploit's code ziet er "heel echt" uit en gebruikt technieken die niet eerder zijn gedocumenteerd, zei Amit Klein, chief technology officer bij Trusteer.

Het zal waarschijnlijk worden gebruikt bij aanvallen, voorspelde hij. "Nu de exploit er is, gecombineerd met het feit dat niet alle DNS-servers zijn bijgewerkt … zouden aanvallers in staat moeten zijn om de cache van sommige ISP's te vergiftigen", schreef hij in een e-mailinterview. "Het punt is dat we misschien nooit van dergelijke aanvallen op de hoogte zijn, als de aanvallers … zorgvuldig werken en hun sporen goed dekken."