Λογισμικό που εκμεταλλεύεται ένα πρόσφατα ανακοινωθέν κενό ασφαλείας
στο DNS software που χρησιμοποιείται για τη δρομολόγηση μηνυμάτων
μεταξύ υπολογιστών στο διαδίκτυο, κυκλοφόρησε από hackers.
Ο
κώδικας επίθεσης κυκλοφόρησε την Τετάρτη από developers της Metasploit.
Ειδικοί στην ασφάλεια του διαδικτύου προειδοποιούν πως αυτός ο κώδικας
ενδέχεται να παρέχει στους εγκληματίες τον τρόπο για να προβούν σε
επιθέσεις phishing που δεν θα είναι ανιχνεύσιμες σε βάρος χρηστών
διαδικτύου των οποίων οι παροχείς δεν έχουν εγκαταστήσει τα πιο
πρόσφατα patches για DNS servers.
Οι εισβολείς θα μπορούν επίσης να χρησιμοποιούν τον κώδικα για να
οδηγούν σιωπηρά τους χρήστες προς ψεύτικους servers αναβάθμισης
λογισμικού ώστε να εγκαθιστούν κακόβουλο software στους υπολογιστές
τους, δήλωσε ο Zulfikar Ramizan, τεχνικός διευθυντής της Symantec.
«Αυτό που καθιστά το όλο θέμα τρομακτικό είναι πως ο τελικός χρήστης
μάλλον δεν θα αντιληφθεί τίποτα», είπε.
Το bug ανακαλύφηκε αρχικά από τον μελετητή της ΙΟActive, Dan Kaminsky,
στις αρχές του μήνα, αλλά οι τεχνικές λεπτομέρειες του ελαττώματος
διέρρευσαν στο διαδίκτυο στις αρχές αυτής της εβδομάδας, καθιστώντας
τον κώδικα του Metasploit εφικτό. Ο Kamnisky είχε εργασθεί για αρκετούς
μήνες με μεγάλους παρόχους λογισμικού DNS όπως η Microsoft, η Cisco και
το Internet Systems Consortium (ISC) για τη δημιουργία ενός fix του
προβλήματος. Οι εταιρικοί χρήστες και οι παροχείς υπηρεσιών Internet
που είναι οι μεγαλύτεροι χρήστες DNS servers έπρεπε από τις 8 Ιουλίου
να εγκαταστήσουν το fix, αρκετοί όμως ακόμη δεν του έχουν κάνει σε
όλους τους DNS servers.
Η επίθεση είναι μια παραλλαγή της γνωστής επίθεσης cache poisoning.
Έχει να κάνει με τον τρόπο που οι DNS clients και servers αποκτούν
πληροφορία από άλλους DNS servers στο διαδίκτυο. Όταν το DNS software
δεν γνωρίζει την αριθμητική ΙΡ διεύθυνση ενός υπολογιστή, απευθύνεται
σε άλλον DNS server γιΆ αυτήν την πληροφορία. Με το cache poisoning, ο
εισβολέας ξεγελά το DNS software και το κάνει να πιστεύει πως νόμιμα
domains όπως το idg.com αντιστοιχίζουν σε κακόβουλες ΙΡ διευθύνσεις.
Στην επίθεση του Kaminsky, μια προσπάθεια για cache poisoning
περιλαμβάνει επίσης κάτι που είναι γνωστό ως δεδομένα «Additional
Resource Record». Προσθέτοντας αυτά τα δεδομένα, η επίθεση γίνεται
ακόμη πιο ισχυρή, σύμφωνα με τους ειδικούς ασφαλείας.
Κάποιος εισβολέας θα μπορούσε να εξαπολύσει μια τέτοια επίθεση ενάντια
στους domain name servers ενός ISP και στη συνέχεια να τους οδηγήσει σε
κακόβουλους servers. Δηλητηριάζοντας το αρχείο domain name για το
www.citibank.comγια παράδειγμα, οι εισβολείς θα μπορούν να οδηγούν τους χρήστες του ISP
προς έναν κακόβουλο phishing server κάθε φορά που προσπαθούν να
επισκεφθούν το site της τράπεζας με τον web browser τους.
Τη Δευτέρα, η εταιρία ασφαλείας Matasano δημοσίευσε από λάθος
λεπτομέρειες της ατέλειας στην ιστοσελίδα της. Η Matasano πολύ γρήγορα
αφαίρεσε τη δημοσίευση και
απολογήθηκε για το λάθος της, όμως ήταν πολύ αργά. Λεπτομέρειες της ατέλειας σύντομα βρέθηκαν διάσπαρτες στο διαδίκτυο.
Παρά το ότι υπάρχει διαθέσιμο το fix για τους περισσότερους χρήστες DNS
software, ίσως χρειαστεί χρόνος για αυτά τα updates να περάσουν από τη
δοκιμαστική διαδικασία και να εγκατασταθούν τελικά στο δίκτυο.
«Ο περισσότερος κόσμος δεν έχει βάλει το patch ακόμη», δήλωσε ο
Πρόεδρος της ISC, Paul Vixie σε μία συνέντευξη μέσω e-mail στις αρχές
αυτής της εβδομάδας. «Είναι ένα τεράστιο πρόβλημα για όλον τον κόσμο».
Ο κώδικας της Metasploit δείχνει «πολύ αληθινός» και χρησιμοποιεί
τεχνικές για τις οποίες δεν υπήρχε πρόσφατα σχετική βιβλιογραφία, είπε
ο Amit Klein (chief technology officer της Trusteer).
Πιθανώς θα χρησιμοποιηθεί σε επιθέσεις, πρόβλεψε. «Τώρα που το κενό
ασφάλειας βρίσκεται εκεί έξω, σε συνδυασμό με το γεγονός πως δεν έχουν
αναβαθμιστεί όλοι οι DNS servers… οι εισβολείς θα μπορούν να
προσβάλλουν την cache ορισμένων ISP», έγραψε σε μια συνέντευξη. «Το
θέμα είναι – ίσως να μη μάθουμε ποτέ για τέτοιες επιθέσεις αν οι
εισβολείς δράσουν προσεκτικά και καλύψουν τα ίχνη τους όπως πρέπει».
ΠΗΓΗ: InfoWorldDns Checker
