Es kommen weitere Informationen über die kürzlich entdeckte Schwachstelle im DNS-Protokoll ans Licht. Die veranlasste viele Anbieter von Nameservern zu dringenden Appellen, aktualisierte Softwareversionen einzuspielen. Der Sicherheitsexperte Dan Kaminsky wollte die Hintergründe der von ihm entdeckten Schwachstelle medienwirksam bis zu seinem Auftritt auf der Black-Hat-Konferrenz zurückhalten, doch nun sind erste Details durchgesickert.

Die Schwachstelle bezieht sich offenbar auf eine eher unspektakuläre Kombination zweier bekannter, älterer Angriffe. Der erste von ihnen besteht darin, dass bei einer DNS-Anfrage eines DNS-Resolvers dieser eine Anfragenummer, eine QID, vergibt. Kann ein Angreifer bei einer gefälschten Antwort diese QID vorweisen, so nimmt der Resolver diese für bare Münze. Steht er etwa bei einem Internet Provider, werden in der Folge alle Kunden auf falsche Webserver umgeleitet, wenn sie populäre DNS-Namen auflösen wollen. Die Herausforderung für Angreifer besteht darin, schneller auf eine Anfrage zu antworten als der legitime Server. In dem Fall speichert der Resolver sie nämlich anstelle der korrekten Antwort.

Die Schwachstelle ist weithin bekannt und wird durch zufällig erzeugte QIDs etwas entschärft. Einige Implementationen wie der von Bernstein entwickelte DJBDNS akzeptieren darüber hinaus auch nur Antworten von gewissen Ports, so dass die Entropie bei knapp 32 Bit liegt. Das macht einen erfolgreichen Angriff zumindest erheblich unwahrscheinlicher.

Die zweite Schwachstelle besteht darin, einen Nameserver dazu zu bringen, Namen einer Domain aufzulösen, die unter der Kontrolle des Angreifers steht. Dies wäre etwa möglich, indem unwahrscheinlich günstige Produkte auf einer Website angepriesen werden, die viele Links auf den kontrollierten Server enthalten. Fragt ein Resolver nun dort an, antwortet er neben der gestellten Anfrage auch mit weiteren Informationen, etwa mit vorgeblichen IP-Adressen von andere DNS-Namen. Obwohl diese zusätzliche Auskunft gefälscht ist, übernahmen früher einige Namerserver sie in ihren Cache. Aktuelle Implementationen akzeptieren diese zusätzlichen Ressource Records nur, wenn sie die gleiche Domain betreffen.

Die neue Schwachstelle kombiniert nach noch unbestätigten Quellen aus dem Internet beide Angriffe: Der Angreifer stellt massenhaft Anfragen zu einer Domain, die er angreifen möchte, verwendet aber Namen, die generiert sind, etwa ‘attack00000.opfer.org’, ‘attack00001.opfer.org’ und so weiter. In der Regel antwortet der legitime Server von ‘opfer.org’ jeweils damit, dass solche Namen nicht existieren und diese Antwort verarbeitet der empfangende Resolver auch korrekt. Da sich jedoch die Anzahl der Anfragen praktisch beliebig steigern lässt, besteht die Gefahr, dass sich der Resolver eine gefälschte Antwort unterschieben lässt. Eine zugewiesene Antwort etwa zu ‘attack87654.opfer.org’ ist an sich nicht gefährlich, allerdings schickt der Angreifer wie beim zweiten klassischen Angriff auch eine neue IP-Adresse zu ‘www.opfer.org’ mit. Die übernimmt der Resolver dann ungeprüft in den Cache.

Aktuell sind noch keine Exploits veröffentlicht, die dieses Verfahren implementieren, aber es gibt Gerüchte, die sagen, dass damit ein Resolver innerhalb von ein paar Sekunden bis Minuten einem DNS-Namen eine neue IP-Adresse zuweisen kann. Die Schwachstelle greift damit keinen Fehler in einer bestimmten Implementation an, sondern beruht auf einer Designschwäche des DNS-Protokolls, das nur unzureichende Mechanismen zur Authentisierung vorschreibt. Eine Verbesserung der Situation sei nur mit DNSSEC zu erreichen, behaupten einige Anbieter. Als erste Top-Level-Domain plant “.org”, durchgängig den abgesicherten Nachfolger von DNS zu unterstützen. Dennoch erwartet Anwender und Admins eine Umstellung, die sich über mehrere Monate, wenn nicht Jahre hinziehen wird.