Met DNS Flaw Now Public, Attack Code Imminent

Een dag nadat een beveiligingsbedrijf per ongeluk gegevens van een ernstige tekortkoming in het DNS-domein (Domain Name System) had gepost, zeggen hackers dat software die misbruik uitbuiten, snel tevoorschijn komt.

Verschillende hackers zijn vrijwel zeker al bezig met het ontwikkelen van een aanvalscode voor de bug, en deze zal waarschijnlijk de komende dagen opduiken, zei Dave Aitel, chief technology officer bij Immunity, beveiligingsleverancier. Zijn bedrijf zal uiteindelijk ook voorbeeldcode ontwikkelen voor zijn Canvas-beveiligingstestsoftware, een taak die hij ongeveer een dag zal duren gezien de eenvoud van de aanval. "Het is niet zo moeilijk," zei hij. "Je kijkt niet naar een DNA-krakende inspanning."

De auteur van een veel gebruikte hacktool zei dat hij verwachtte dat hij aan het einde van de dag dinsdag een exploit zou hebben. In een telefonisch interview was HD Moore, auteur van de penetratietestsoftware van Metasploit, het met Aitel eens dat de aanvalscode niet moeilijk te schrijven was.

[Verdere lectuur: de beste NAS-boxen voor mediastreaming en back-up]

De fout, een variatie op wat bekend staat als een cache-vergiftigingsaanval, werd op 8 juli aangekondigd door IOActive-onderzoeker Dan Kaminsky, die van plan was de volledige details van de bug te onthullen tijdens een presentatie van 6 augustus op de Black Hat-conferentie.

Dat plan werd maandag verijdeld, toen iemand bij Matasano per ongeluk details van de fout eerder dan gepland plaatste. Matasano verwijderde snel de post en verontschuldigde zich voor zijn fout, maar het was te laat. Details van de fout verspreidden zich snel over het internet.

En dat is slecht nieuws, volgens Paul Vixie, president van het bedrijf dat de dominante maker is van DNS-software, het Internet Systems Consortium. Vixie heeft, net als anderen die geïnformeerd waren over de bug van Kaminsky, niet bevestigd dat het door Matasano was onthuld. Maar als het had "het is een grote deal", zei hij in een e-mailbericht.

De aanval kan worden gebruikt om slachtoffers door te sturen naar kwaadwillende servers op internet door zich te richten op de DNS-servers die dienen als wegwijzers voor alle internetverkeer. Door een server van een internetprovider (ISP's) lastig te vallen in het accepteren van slechte informatie, kunnen aanvallers de klanten van dat bedrijf omleiden naar kwaadwillende websites zonder dat zij het weten.

Hoewel er nu een softwarefix beschikbaar is voor de meeste gebruikers van DNS-software, kan het even duren om deze updates door het testproces te werken en daadwerkelijk op het netwerk te worden geïnstalleerd.

"De meeste mensen hebben nog niet gepatcht," zei Vixie. "Dat is een gigantisch probleem voor de wereld." Hoe groot een probleem is, is een kwestie van discussie.

Neal Krawetz, eigenaar van computerbeveiligingsadviesbureau Hacker Factor Solutions, keek naar DNS-servers van grote bedrijven ISP's eerder deze week en vonden dat meer dan de helft van hen nog steeds kwetsbaar was voor de aanval.

"Ik vind het stomverbaasd dat de grootste ISP's … nog steeds als kwetsbaar worden geïdentificeerd," schreef hij in een blogposting. "Wanneer de [hackers] van de exploit leren, zullen ze gaan spelen, ze zullen zeker beginnen met het laagste hangende fruit - grote bedrijven die kwetsbaar zijn en een groot aantal gebruikers ondersteunen."

Hij verwacht dat gebruikers zullen zie aanvallen binnen enkele weken, eerst beginnend met testaanvallen en mogelijk zelfs een uitgebreide domeinkapaanval. "Tot slot zullen de phishers, malware-schrijvers en georganiseerde aanvallers zijn", schreef hij in een e-mailinterview van dinsdag. "Ik verwacht echt dat dit zeer gerichte aanvallen zijn."

De meeste ISP's zullen de patch waarschijnlijk hebben toegepast tegen de tijd dat de aanvallen beginnen op te duiken, en dat zal de overgrote meerderheid van de thuisgebruikers beschermen, aldus Russ Cooper, senior informatie beveiligingsanalist bij Verizon Business. En zakelijke gebruikers die veilige DNS-proxysoftware gebruiken, worden ook "vrijwel beschermd" tegen de aanval op hun firewall, zei Cooper.

"Als iemand dit daadwerkelijk probeert te exploiteren, zal het daadwerkelijke aantal slachtoffers extreem zijn klein, "voorspelde hij.

HD Moore zei dat hij de dingen niet precies zag. Omdat de fout van invloed is op bijna alle DNS-software die op internet wordt gebruikt, zei hij dat er nog veel problemen kunnen zijn.

"Dit is een bug waar we ons over een jaar zorgen over gaan maken," zei hij.