Çin Netcom Falls Prey DNS Önbellek Zehirlenmesi

Güvenlik sağlayıcı Websense'ye göre, Çin'in en büyük internet servis sağlayıcılarından biri (İnternet servis sağlayıcıları), İnternet'in adresleme sistemindeki tehlikeli bir güvenlik açığına mağdur oldu.

Şimdiye kadar etkilenecek en ciddi olanlardan biri olarak tanımlanan kusur. İnternet, URL (Tekdüzen Kaynak Konum Belirleyicisi) tarayıcının adres çubuğuna doğru yazılsa bile Web sörfçülerinin hileli Web sitelerine yönlendirilmesine neden olabilir.

Güvenlik araştırmacısı Dan Kaminsky tarafından keşfedilen sorun, DNS'de köklüdür. (Alan Adı Sistemi). Bir kullanıcı bir Web adresini bir tarayıcıya yazdığında, istek bir DNS sunucusuna veya bir önbelleğe gider ve bu da bir Web sitesi için karşılık gelen sayısal IP (Internet protokolü) adresini döndürür.

[Daha fazla okuma: Kötü amaçlı yazılım nasıl kaldırılır Windows PC'niz

Ancak, hata DNS sunucusunun yanlış bilgilerle doldurulmasına ve kullanıcıları kötü amaçlı Web sitelerine yönlendirmesine izin veriyor. Çin Netcom saldırısı özellikle ilginç çünkü belirli URL'leri yanlış yazanları etkiliyor, Websense'in Avrupa laboratuarı güvenlik araştırması müdürü Carl Leonard.

En son hack, araştırmacıları Çin Netcom'u kullanan Websense'nin Pekin laboratuarı tarafından keşfedildi. ISP, Leonard dedi. Websense, diğer DNS saldırılarını gördü, ancak ilginç bir uygulama nedeniyle bunu açıklamayı tercih etti, dedi.

Hacker'lar, yalnızca, örneğin gogle.cn yazan kullanıcıları yeniden yönlendirmek için, Çin Netcom’un DNS sunucularından birini kurcaladı. google.cn. Bu şekilde, daha az sayıda kullanıcı kötü amaçlı Web sitelerine yönlendirilir, ancak bu strateji saldırıları daha düşük bir profil olarak tutmaktır. Dikkat etmemesi için. ”

“ Malcode yazarları radarın altında kalmaya çalışıyor ”dedi.

Kurbanlar, RealNetworks'ün RealPlayer multimedya oynatıcısı ve Adobe Sisteminin Flash Player'ı gibi yazılımlarda bilinen güvenlik açıklarından yararlanmaya çalışan kötü niyetli Web sitelerine yönlendirilmiş, bazıları hala aktif durumda.

Başka bir istismar, Microsoft Access Snapshot Viewer için bir ActiveX denetimi ile ilgili bir sorun, bir ilişkisel veritabanı programı olan Microsoft Access raporlarını görüntülemek için kullanılır.

Adobe, Microsoft ve RealPlayer, bu açıkların bir kısmı için düzeltme ekleri yapmış olsalar da, bilgisayar korsanları hala fırsatları görmektedir. Leonard, "İnsanların bu yamaları uygulamadıklarını söylüyor." Dedi.

Bir istismar başarılı olursa, bilgisayar antivirüs yazılımı güncellemelerini durduran bir Truva atı programı indirecek. Websense, Çin Netcom'unu bilgilendirdi ancak DNS sunucusu yandıysa henüz emin değil.

Kaminsky ve diğer araştırmacılar, DNS yazılımlarını yamaları için satıcılarla olan büyük bir gizli kampanyayı koordine ettiler, ancak felaketi nasıl kullanacaklarına dair ayrıntılar 21 Temmuz'da sızdırıldı. Ancak, tüm ISP'lerin henüz düzeltme yapmadığı, bazı kullanıcıları riske atmadığı. Ayrıca, mevcut yamalar bir saldırıya karşı bir DNS sunucusunu tamamen güvenceye almaktan ziyade bir saldırının başarılma olasılığını azaltır, dedi Leonard.

"Daha uzun vadeli bir çözüm bulunması gerekiyor," dedi Leonard.