China Netcom Falls Prey to DNS Cache -myrkytys

Yksi Kiinan suurimmista internet-palveluntarjoajista on joutunut vaarallisen haavoittuvuuteen Internetin osoitusjärjestelmässä tietoturvamyyjän Websense-sivuston mukaan.

Tämä virhe on kuvattu yhdeksi vakavimmista ongelmista, jotka vaikuttavat koskaan Internet voi aiheuttaa Web-surffareita ohjattavaksi petollisiin verkkosivustoihin, vaikka URL-osoite (Uniform Resource Locator) on kirjoitettu oikein selaimen osoiteriville.

Turvallisuustutkija Dan Kaminskyin havaitsema ongelma perustuu DNS: n (Verkkotunnusjärjestelmä). Kun käyttäjä kirjoittaa Web-osoitteen selaimeen, pyyntö menee DNS-palvelimeen tai välimuistiin, joka palauttaa vastaavan numerotietojärjestelmän (Internet Protocol) osoitteen verkkosivulle.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokone]

Mutta virhe mahdollistaa DNS-palvelimen täyttämisen väärillä tiedoilla ja suoraan käyttäjille haitallisille verkkosivustoille. China Netcom-hyökkäys on erityisen mielenkiintoinen, koska se vaikuttaa vain niihin, jotka kirjoittavat väärin tiettyjä URL-osoitteita, kertoi Websensen eurooppalaiselle laboratoriossa tietoturvapäällikkö Carl Leonard.

Viimeisin hakkeri löysi Websensen Pekingin laboratorion, jonka osa tutkijoista käyttää China Netcomia heidän ISP: nsä, Leonard sanoi. Websense on nähnyt muita DNS-hyökkäyksiä, mutta hän päätti julkistaa tämän erityisen mielenkiintoisen suorituksensa vuoksi.

Hakkerit ovat vioittaneet jotain China Netcomin DNS-palvelimista vain ohjata käyttäjiä, jotka kirjoittavat esimerkiksi gogle.cn: n kuin google.cn. Tällä tavalla vähemmän käyttäjiä ohjataan haitallisiin verkkosivustoihin, mutta strategian tarkoituksena on pitää hyökkäykset alhaisempaan profiiliin, jotta he eivät kiinnitä huomiota.

"Malcode-kirjoittajat yrittävät pitää radarin alla", Leonard sanoi.

Uhrit ohjataan haitallisiin Web-sivustoihin, joista osa on edelleen aktiivisia. He yrittävät hyödyntää tunnettuja haavoittuvuuksia esimerkiksi RealNetworksin RealPlayer-multimediasoitimella ja Adobe Systemin Flash Player -ohjelmistolla.

Toinen hyötyyritys yrittää hyödyntää ongelma Microsoftin snapshot -näyttäjän ActiveX-hallinnan kanssa, jota käytetään tarkastelemaan Microsoft Access -raportteja, relaatiotietokantaohjelmaa.

Vaikka Adobe, Microsoft ja RealPlayer ovat julkaisseet korjaustiedostoja joillekin näistä haavoittuvuuksista, hakkerit näkevät edelleen mahdollisuuksia. "Se kertoo meille, että ihmiset eivät ole soveltaneet näitä korjaustiedostoja", Leonard sanoi.

Jos hyödyntäminen onnistuu, tietokone lataa troijalaisen hevosohjelman, joka sulkee päivitykset virustorjuntaohjelmistoihin, Leonard sanoi. Websense on ilmoittanut China Netcomille, mutta eivät ole vielä tiedossa, jos DNS-palvelin on korjattu.

Kaminsky ja muut tutkijat koordinoivat massiivista salaista kampanjaa toimittajien kanssa DNS-ohjelmiston korjaamiseksi, mutta yksityiskohtia virheen hyödyntämisestä vuotui 21. heinäkuuta, Mutta kaikki palveluntarjoajat eivät ole vielä korjannut joitakin käyttäjiä vaarassa. Myös saatavilla olevat korjaustiedostot vähentävät hyökkäyksen onnistumisen todennäköisyyttä sen sijaan, että ne varmistaisivat täysin DNS-palvelimen hyökkäyksestä, Leonard sanoi.

"Tarve on saatavana pidemmällä aikavälillä," Leonard sanoi. >