Saldırı Kodu Yeni DNS Saldırısı İçin Çıktı

Hackerlar, İnternetteki bilgisayarların arasındaki mesajları yönlendirmek için kullanılan Alan Adı Sistemi (DNS) yazılımında kısa bir süre önce açıklanan bir kusurdan yararlanır.

Saldırı kodu, Çarşamba günü hacker araç seti geliştiricileri tarafından Çarşamba günü yayınlandı.

İnternet güvenlik uzmanları bunu uyarıyor. Bu kod, suçlulara servis sağlayıcıları en son DNS sunucusu yamalarını yüklememiş olan İnternet kullanıcılarına karşı neredeyse tespit edilemeyen kimlik avı saldırıları başlatma yolunu verebilir.

[Daha fazla okuma: Medya akışı ve yedekleme için en iyi NAS kutuları]

Saldırganlar da kullanabilir Güvenlik sağlayıcısı Symantec'in teknik direktörü olan Zulfikar Ramizan, kullanıcıları bilgisayarlarına kötü amaçlı yazılım yüklemek için sahte yazılım güncelleme sunucularına sessizce yönlendireceklerini söyledi. “Bütün bu şeyleri gerçekten korkutucu yapan şey, son kullanıcı bakış açısından bir şey fark etmemeleridir” dedi.

Hata ilk olarak IOAktif araştırmacı Dan Kaminsky tarafından bu ayın başlarında açıklandı, ancak kusurun teknik detayları açıklandı. Bu hafta başında internete sızdı ve Metasploit kodunu mümkün kıldı. Kaminsky, Microsoft, Cisco ve Internet Systems Consortium (ISC) gibi büyük bir DNS yazılımı sağlayıcısıyla sorun için bir çözüm geliştirmek amacıyla birkaç ay çalışmıştı. DNS sunucularının en büyük kullanıcıları olan kurumsal kullanıcılar ve Internet servis sağlayıcıları, 8 Temmuz'dan bu yana kusurun yamasını sağladılar, ancak pek çoğu, düzeltmeyi tüm DNS sunucularına yüklemedi.

Saldırı, şu şekilde bilinen bir varyasyondur. Bir önbellek zehirlenmesi saldırısı. Bu, DNS istemcilerinin ve sunucularının Internet'teki diğer DNS sunucularından bilgi almasıyla ilgilidir. DNS yazılımı bir bilgisayarın sayısal IP (İnternet Protokolü) adresini bilmediğinde, bu bilgi için başka bir DNS sunucusu sorar. Önbellek zehirlenmesiyle, saldırgan DNS yazılımını idg.com gibi meşru etki alanlarının kötü amaçlı IP adresleriyle eşleştirdiğine inanır.

Kaminsky'nin saldırısında bir önbellek zehirlenmesi girişimi de "Ek Kaynak Kaydı" verileri olarak bilinir.. Güvenlik uzmanları bu verileri ekleyerek saldırıların çok daha güçlü hale geldiğini söylüyor.

Saldırgan bir ISP'nin (Internet Servis Sağlayıcı) alan adı sunucularına karşı böyle bir saldırı başlatıp onları kötü amaçlı sunuculara yönlendirebilir. Örneğin, www.citibank.com alan adı kaydının zehirlenmesiyle saldırganlar, İnternet tarayıcısıyla bankacılık sitesini ziyaret etmeye çalıştıklarında ISP'nin kullanıcılarını kötü amaçlı bir kimlik avı sunucusuna yönlendirebilirler.

Pazartesi günü, güvenlik şirketi Matasano, kusurun ayrıntılarını Web sitesinde yanlışlıkla gönderdi. Matasano çabucak görevi kaldırdı ve hatalarından dolayı özür diledi, ama çok geç oldu. Kusurun ayrıntıları yakında Internet'e yayıldı.

Çoğu DNS yazılımı kullanıcısı için bir yazılım düzeltmesi kullanıma sunulmuş olsa da, bu güncellemelerin test süreci boyunca yol alması ve aslında ağa kurması zaman alabilir.

ISC Başkanı Paul Vixie, bu hafta başlarında bir e-posta röportajında ​​"Çoğu insan henüz düzeltme yapmadı" dedi. "Bu dünya için çok büyük bir problem."

Metasploit'in kodu "çok gerçek" gibi görünüyor ve daha önce belgelendirilmemiş olan teknikleri kullandığını söylüyor Trusteer ile baş teknoloji sorumlusu Amit Klein.

Muhtemelen saldırılarda kullanılacak, O tahmin etti. “Artık bu istismar, tüm DNS sunucularının güncellenmediği gerçeğiyle birleşti… saldırganlar bazı İSS'lerin önbelleğini zehirleyebilmelidir” diye bir e-posta röportajında ​​yazdı. “Şey, saldırganların dikkatlice çalışması ve izlerini düzgün bir şekilde örtmeleri halinde, bu tür saldırılardan asla haberdar olamayız.”