Forscher entdecken neuen DNS Angriff

Im Rahmen der Forschung zu einer Dissertation wird ein neuer DNS-Cache-Angriff entwickelt. Der Anstieg spekulativer Auführbarer-Side-Channel-Verwundbarkeiten hat einen interessanten Nebeneffekt: Mehr Forscher aus der akademischen Welt finden ihre Namen in Lebensläufen und Kopfgeld, und im Gegenzug finden sich diejenigen von der Sicherheitsbranche mehr mit diesen Akademikern zusammenarbeiten.


Ein kürzlich durchgeführter DNS-Cache-Poisoning-Angriff, der eine Sicherheitslücke im mDNSResponder ausnutzt, zeigt, wie akademische Forschung in einem weitaus schnelleren Zyklus als zuvor Auswirkungen auf die kommerzielle Rechnertechnik hat, die sonst typischerweise mit Forschung und Veröffentlichung an Universitäten verbunden werden.

Ein Forscherteam unter der Leitung von Doktorandin Fatemah Alharbi an der University of California, Riverside, entdeckte den Angriff im Rahmen der Doktorarbeit von Alharbi. “Wir fanden heraus, dass der Client-Side-DNS-Cache-Angriff noch nie technisch und praktisch untersucht wurde; Daher entschied ich mich, dieses Projekt als mein erstes Projekt in meiner Doktorangestudie zu wählen”, so Alharbi in einem E-Mail-Interview mit Dark Reading.

Alharbis Gruppe begann, die mögliche Attacke auf Android und Ubuntu Linux zu erforschen. Nachdem sie einen erfolgreichen Angriff demonstriert hatten, zogen sie weiter, um zu sehen, ob die gleiche Verwundbarkeit für MacOS und Windows bestand.

“Wie erwartet, fanden wir die notwendige Verwundbarkeit, um den Angriff zu starten und gelang es, den DNS-Cache dieser beiden Betriebssysteme zu vergiften, ” sagte sie. “[Als Ergebnis] kann einer der Maschinenbenutzer den Angriff starten und den DNS-Cache (ohne Root oder Admin-Privilegien) mit einem bösartigen DNS-Mapping vergiften. Da es keine vollständige Isolierung zwischen den Nutzern gibt, wird ein anderer Benutzer (auch der Admin), der die gleiche Domain besucht, am Ende den Webserver besuchen, der vom Angreifer statt des legitimen Webservers gesteuert wird.”

Die Attacke selbst nutzt die Tatsache, dass der von mDNSResponder verwendete OS-DNS-Cache unter allen Nutzern eines bestimmten Rechners geteilt wird — und dieser Cache in der Regel ohne ausdrücklichen Schutz ist. “Client-Geräte werden in der Regel nicht als Teil der DNS-Hierarchie betrachtet und daher nicht von Abwehrmaßnahmen gegen DNS-Cache-Vergiftung berücksichtigt, ” Alharbi sagte.

Das Forscherteam offenbarte die Attacke an die Anbieter und wurde von Apple in den Sicherheitshinweisen für macOS Mojave 10.14.3, Security Update 2019-001 High Sierra und Security Update 2019-001 Sierra anerkannt. Abgesehen von der Abschwächung, die durch Betriebssystem-Updates entstehen kann, gibt es nur wenige gute Optionen auf dem Client-System.

“Eine einfache und schnelle Lösung ist es, den DNS-Cache zu deaktivieren, ” sagte Alharbi. “Die Kehrseite dabei ist, dass der Client auf die DNS-Antwort warten muss, nachdem der DNS-Auflösungsprozess für jede DNS-Abfrage, die er sendet, abgeschlossen ist. “

Eine weitere Kehrseite, so stellte sie fest, sei, dass die Abhängigkeit vollständig vom DNS-Server (und dem zusätzlichen Datenverkehr, der repräsentiert) den DNS-Auflöser anfälliger für DDoS-Angriffe machen könnte.

Das Papier, das den Angriff und mögliche Sanierungen beschreibt, wird im Rahmen der IEEE International Conference on Computer Communications (INFOCOM) 2019 in Paris im Mai dieses Jahres veröffentlicht.


  1. DARKReading.com (https://www.darkreading.com/attacks-breaches/client-side-dns-attack-emerges-from-academic-research/d/d-id/1333848)

Interessiert?

Schreiben Sie unserem Team noch heute, um eine erste Einschätzung zu erhalten.

Kontakt
Brandenburgische Str. 25
10707 Berlin, Germany
+49 30 551 25 188
+49 30 915 03 934
mail@snoke-connect.com