China Netcom Falls Prey til DNS Cache-forgiftning

En av Kinas største Internett-leverandører (Internett-leverandører) har blitt utsatt for et farlig sårbarhet i Internett-adressesystemet, ifølge sikkerhetsleverandøren Websense.

Feilen, som har blitt beskrevet som en av de alvorligste som noen gang påvirker Internett, kan føre til at websurfere blir omdirigert til falske nettsteder, selv om nettadressen (Uniform Resource Locator) er skrevet korrekt i en nettleser adresselinje.

Oppdaget av sikkerhetsforsker Dan Kaminsky, er problemet rotet i DNS (Domenenavn system). Når en bruker skriver en webadresse til en nettleser, går forespørselen til en DNS-server eller en cache, som returnerer den tilhørende numeriske IP-adressen (Internet Protocol) for et nettsted.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Men feilen gjør det mulig for DNS-serveren å bli fylt med feil informasjon og direkte brukere til ondsinnede nettsteder. China Netcom-angrepet er spesielt interessant fordi det bare påvirker de som misspiller bestemte nettadresser, sier Carl Leonard, sikkerhetsforskerforvalter for Websense's europeiske lab.

Det siste hacket ble oppdaget av Websense's Beijing-lab, hvorav enkelte forskere bruker China Netcom som deres Internett-leverandør, Leonard sa. Websense har sett andre DNS-angrep, men valgte å publisere dette på grunn av sin interessante utførelse, sa han.

Hackere har manipulert med en av China Netcoms DNS-servere for å bare omdirigere brukere som for eksempel skriver inn gogle.cn heller enn google.cn. På den måten blir færre brukere rettet mot ondsinnede nettsteder, men strategien er å holde angrepene nedre profil for ikke å øke oppmerksomheten.

"Forfatterne prøver å holde seg under radaren," sa Leonard.

Ofre blir omdirigert til ondsinnede nettsteder - hvorav noen fortsatt er aktive - som forsøker å utnytte kjente sårbarheter i programvare som RealNetworks RealPlayer multimediaspiller og Adobe Systemets Flash Player.

En annen utnytte forsøk på å dra nytte av Et problem med en ActiveX-kontroll for Microsofts Snapshot Viewer, som brukes til å vise rapporter for Microsoft Access, et relationsdatabaseprogram.

Selv om Adobe, Microsoft og RealPlayer har utstedt patcher for noen av disse sikkerhetsproblemene, ser hackere fortsatt muligheter. "Det forteller oss at folk ikke har brukt disse patchene," sier Leonard.

Hvis en utnyttelse er vellykket, vil PCen laste ned et trojansk hesteprogram som slår av oppdateringer for antivirusprogramvare, sa Leonard. Websense har kunngjort China Netcom, men er fortsatt usikker på om DNS-serveren er blitt oppdatert.

Kaminsky og andre forskere samordnet en massiv hemmelig kampanje med leverandører for å lappere deres DNS-programvare, men detaljer om hvordan å utnytte feilen ble lekket 21. juli. Ikke alle Internett-leverandører har imidlertid patched ennå, og setter noen brukere i fare. Også patchene som er tilgjengelige, reduserer bare sannsynligheten for at et angrep lykkes, i stedet for å fullstendig sikre en DNS-server mot et angrep, sier Leonard.

"Det må være en langsiktig løsning tilgjengelig," sa Leonard. >