Angrepskode utgitt for nytt DNS-anfall

Hackere har gitt ut programvare som utnytter en nylig avslørt feil i Domenenavnssystemet (DNS) -programvaren som brukes til å lede meldinger mellom datamaskiner på Internett.

Angrepskoden ble utgitt onsdag av utviklere av Metasploit hacking toolkit.

Internett-sikkerhetseksperter advarer om at dette kode kan gi kriminelle mulighet til å starte nesten uoppdagbare phishing-angrep mot Internett-brukere hvis tjenesteleverandører ikke har installert de nyeste DNS-serveroppdateringene.

[Videre lesing: Best NAS-bokser for media streaming og backup]

Attackere kan også bruke koden for å omdirigere brukere til falske programvareoppdateringsservere for å installere skadelig programvare på sine datamaskiner, sier Zulfikar Ramizan, teknisk direktør med sikkerhetsleverandøren Symantec. "Det som gjør hele denne greia virkelig skummelt er at det fra et sluttbrukerperspektiv kan de ikke merke noe," sa han.

Bugten ble først avslørt av IOActiveforsker Dan Kaminsky tidligere i måneden, men tekniske detaljer om feilen var lekket ut på Internett tidligere denne uken, noe som gjør Metasploit-koden mulig. Kaminsky hadde jobbet i flere måneder med store leverandører av DNS-programvare som Microsoft, Cisco og Internet Systems Consortium (ISC) for å utvikle en løsning på problemet. Bedriftsbrukerne og Internett-tjenesteleverandørene som er de største brukerne av DNS-servere, har siden 8. juli lansert feilen, men mange har ennå ikke installert reparasjonen på alle DNS-servere.

Angrepet er en variasjon på det som er kjent som et cacheforgiftningsangrep. Det har å gjøre med måten DNS-klienter og servere får informasjon fra andre DNS-servere på Internett. Når DNS-programvaren ikke kjenner IP-adressen (Internet Protocol) til en datamaskin, spør den en annen DNS-server for denne informasjonen. Ved cacheforgiftning, traff angriperen DNS-programvaren til å tro at legitime domener, for eksempel idg.com, kartlegger ondsinnede IP-adresser.

I Kaminsky-angrep inkluderer et cache-forgiftningsforsøk også det som kalles "Additional Resource Record" -data. Ved å legge til disse dataene, blir angrepet mye kraftigere, sier sikkerhetseksperter.

En angriper kan starte et slikt angrep mot en Internett-leverandør (Internet Service Provider) domenenavnsservere og deretter omdirigere dem til ondsinnede servere. Ved å forgift domenenavnet for www.citibank.com, kan angriperne for eksempel omdirigere Internett-leverandørens brukere til en ondsinnet phishing-server hver gang de prøvde å besøke banksiden med nettleseren.

På mandag, sikkerhetsselskap Matasano har ved et uhell lagt ut opplysninger om feilen på sitt nettsted. Matasano fjernet raskt innlegget og ba om unnskyldning for feilen, men det var for sent. Detaljer om feilen spredes snart rundt på Internett.

Selv om en programvareretting nå er tilgjengelig for de fleste brukere av DNS-programvare, kan det ta tid for disse oppdateringene å jobbe seg gjennom testprosessen og faktisk bli installert på nettverket.

"De fleste har ikke patched ennå," sa ISCs president Paul Vixie i et e-postintervju tidligere denne uken. "Det er et gigantisk problem for verden." Metasploits kode ser ut som "veldig ekte", og bruker teknikker som ikke tidligere var dokumentert, sier Amit Klein, sjefsteknologsjef med Trusteer.

Det vil sannsynligvis bli brukt i angrep, han spådde. "Nå som utnyttelsen er der ute, kombinert med at ikke alle DNS-servere ble oppgradert … bør angriperne kunne forbytte cachen til noen ISPer," skrev han i et e-postintervju. "Saken er - vi kan aldri vite om slike angrep, hvis angriperne … jobber forsiktig og dekker deres spor riktig."