China Netcom valt prooi naar DNS-cache-vergiftiging

Een van de grootste internetproviders in China (internetproviders) is volgens beveiligingsleverancier Websense het slachtoffer geworden van een gevaarlijke kwetsbaarheid in het adresseringssysteem van het internet.

internet kan ertoe leiden dat websurfers worden omgeleid naar frauduleuze websites, zelfs als de URL (Uniform Resource Locator) correct is ingevoerd in de adresbalk van een browser.

Ontdekt door beveiligingsonderzoeker Dan Kaminsky is het probleem geworteld in de DNS (Domeinnaam systeem). Wanneer een gebruiker een webadres in een browser typt, gaat het verzoek naar een DNS-server of een cache, die het corresponderende numerieke IP-adres (internetprotocol) voor een website retourneert.

[Meer informatie: hoe u malware verwijdert van uw Windows-pc]

Maar het probleem stelt de DNS-server in staat te worden gevuld met verkeerde informatie en gebruikers naar kwaadwillende websites te leiden. De China Netcom-aanval is met name interessant omdat het alleen van invloed is op degenen die bepaalde URL's verkeerd spelden, zei Carl Leonard, security research manager voor het Europese lab van Websense.

De nieuwste hack is ontdekt door Websense's Beijing-lab, waarvan sommige onderzoekers China Netcom gebruiken als hun ISP, zei Leonard. Websense heeft andere DNS-aanvallen gezien, maar koos ervoor deze te publiceren wegens de interessante uitvoering ervan, zei hij.

Hackers hebben geknoeid met een van de DNS-servers van China Netcom om gebruikers die bijvoorbeeld gogle.cn typen, bijvoorbeeld door te sturen dan google.cn. Op die manier worden minder gebruikers naar kwaadwillende websites geleid, maar de strategie is om de aanvallen lager te houden om de aandacht niet te vestigen.

"De makers van malcodes proberen onder de radar te blijven," zei Leonard.

Slachtoffers worden doorgestuurd naar kwaadwillende websites - waarvan sommige nog steeds actief zijn - die bekende kwetsbaarheden proberen uit te buiten in software zoals de RealPlayer-multimediaspeler van RealNetworks en de Flash Player van Adobe System.

Een andere exploit probeert te profiteren van een probleem met een ActiveX-besturingselement voor de Snapshot Viewer van Microsoft, gebruikt om rapporten voor Microsoft Access te bekijken, een relationeel databaseprogramma.

Hoewel Adobe, Microsoft en RealPlayer patches hebben uitgegeven voor sommige van die kwetsbaarheden, zien hackers nog steeds kansen. "Het vertelt ons dat mensen die patches niet hebben toegepast", zei Leonard.

Als een exploit succesvol is, downloadt de pc een Trojaans paardenprogramma dat updates voor antivirussoftware uitschakelt, zei Leonard. Websense heeft China Netcom op de hoogte gebracht, maar is nog niet zeker of de DNS-server is hersteld.

Kaminsky en andere onderzoekers coördineerden een massale geheime campagne met leveranciers om hun DNS-software te patchen, maar details over het misbruiken van de fout lekten op 21 juli Maar niet alle ISP's zijn al gepatcht, waardoor sommige gebruikers gevaar lopen. Bovendien verminderen de beschikbare patches de kans op succes van een aanval in plaats van het volledig beveiligen van een DNS-server tegen een aanval, zei Leonard.

"Er moet een oplossing voor de langere termijn beschikbaar worden gesteld," zei Leonard.