Hyökkäyskoodi julkaistiin uudelle DNS-hyökkäykselle

Hakkerit ovat julkaisseet ohjelmiston hyödyntää äskettäin ilmenneen virheen Domain Name System (DNS) -ohjelmistossa, jota käytetään viestien välittämiseen tietokoneiden välillä Internetissä.

Metasploitin hakkerointityökalun kehittäjät julkaisivat hyökkäyskoodin keskiviikkona.

Internet-tietoturva-asiantuntijat varoittavat, että tämä koodi voi antaa rikollisille mahdollisuuden käynnistää käytännössä tuntematonta phishing-hyökkäystä sellaisia ​​käyttäjiä vastaan, joiden palveluntarjoajat eivät ole asentaneet viimeisimpiä DNS-palvelimen korjaustiedostoja.

[Lue lisää: Parhaat mediasoittimien ja varmuuskopioiden NAS-laatikot]

Hyökkääjät voisivat myös käyttää koodi ohjata hiljaisesti käyttäjiä väärennettyihin ohjelmistopäivityspalvelimiin, jotta he voivat asentaa haittaohjelmia tietokoneisiinsa, sanoo tekninen johtaja Zulfikar Ramizan tietoturvayhtiö Symantecilla. "Mikä tekee tästä kaikesta todella pelottavaa on se, että loppukäyttäjän näkökulmasta he eivät ehkä huomaa mitään", hän sanoi.

IOActive tutkija Dan Kaminsky julkaisi tämän bugin aiemmin tässä kuussa, mutta tekniset yksityiskohdat virheestä olivat vuotaa Internetin aiemmin tällä viikolla, jolloin Metasploit-koodi on mahdollista. Kaminsky oli työskennellyt useiden kuukausien ajan tärkeimpien DNS-ohjelmistojen tarjoajien, kuten Microsoftin, Ciscon ja Internet Systems Consortiumin (ISC) kanssa, kehittämään ongelman korjaamista. Syyskuun 8. päivään mennessä yritysten palveluntarjoajat ja Internet-palveluntarjoajat, jotka ovat tärkeimpiä DNS-palvelimien käyttäjiä, korjaavat virheen, mutta monet eivät ole vielä asentaneet korjausta kaikkiin DNS-palvelimiin.

Hyökkäys on muunnelma siitä, mitä tunnetaan nimellä välimuisti myrkytys hyökkäys. Se liittyy siihen, miten DNS-asiakkaat ja palvelimet saavat tietoja muista DNS-palvelimista Internetissä. Kun DNS-ohjelmisto ei tiedä tietokoneen numeerista IP-osoitetta (Internet Protocol), se pyytää toista DNS-palvelinta kyseisiin tietoihin. Hyökkääjä houkuttelee DNS-ohjelmistoa uskomaan, että lailliset verkkotunnukset, kuten idg.com, kartoittavat haitallisiin IP-osoitteisiin.

Kaminskyn hyökkäyksessä välimuistin myrkytysohjelma sisältää myös "Lisäresurssi-tietueen" tiedot. Hyökkääjä voi käynnistää tällaisen hyökkäyksen ISP: n (Internet-palveluntarjoajan) verkkotunnusten palvelimia vastaan ​​ja sitten ohjata heidät haittaohjelmille.

Esimerkiksi myrkyttämällä verkkotunnustietueen www.citibank.com, hyökkääjät voivat ohjata Internet-palveluntarjoajan käyttäjiä haitalliselle verkkohuijauspalvelimelle aina, kun he yrittivät käydä pankkiyhteydessä verkkoselaimellaan.

Maanantaina turvayhtiö Matasano vahingossa lähetti yksityiskohtia virheestä verkkosivustollaan. Matasano pyysi nopeasti virkaa ja pyysi anteeksi virheestä, mutta se oli liian myöhäistä. Tietoja virheestä levittäytyy pian Internetin välityksellä.

Vaikka ohjelmistopäivitys on nyt käytettävissä useimmille DNS-ohjelmiston käyttäjille, saattaa kestää aikaa näiden päivitysten käyttämiseen testausprosessin läpi ja saada ne todella käyttöön verkossa.

"Useimmat ihmiset eivät ole vielä korjattaneet", sanoi ISC: n presidentti Paul Vixie sähköpostin haastattelussa aiemmin tällä viikolla. "Se on mahtava ongelma maailmalle."

Metasploitin koodi näyttää "hyvin realiselta" ja käyttää tekniikoita, joita ei aiemmin ole dokumentoitu, sanoi Trusteerin teknologiapäällikkö Amit Klein.

Käytetään todennäköisesti hyökkäyksissä, hän ennusti. "Nyt kun hyödyn on olemassa, yhdistettynä siihen, että kaikkia DNS-palvelimia ei päivitetä … hyökkääjien pitäisi kyetä myrkyttämään joidenkin Internet-palveluntarjoajien välimuisti", hän kirjoitti sähköpostikyselyssä. "Asia on - emme ehkä koskaan tiedä tällaisista hyökkäyksistä, jos hyökkääjät … toimivat huolellisesti ja peittävät kappaleensa kunnolla."