Από το adslgr.com http://www.adslgr.com/forum/showthread.php?p=2218513
"Λογισμικό που εκμεταλλεύεται ένα πρόσφατα ανακοινωθέν κενό ασφαλείας στο DNS software που χρησιμοποιείται για τη δρομολόγηση μηνυμάτων μεταξύ υπολογιστών στο διαδίκτυο, κυκλοφόρησε από hackers.
Ο κώδικας επίθεσης κυκλοφόρησε την Τετάρτη από developers της Metasploit.
Ειδικοί στην ασφάλεια του διαδικτύου προειδοποιούν πως αυτός ο κώδικας ενδέχεται να παρέχει στους εγκληματίες τον τρόπο για να προβούν σε επιθέσεις phishing που δεν θα είναι ανιχνεύσιμες σε βάρος χρηστών διαδικτύου των οποίων οι παροχείς δεν έχουν εγκαταστήσει τα πιο πρόσφατα patches για DNS servers.
Οι εισβολείς θα μπορούν επίσης να χρησιμοποιούν τον κώδικα για να οδηγούν σιωπηρά τους χρήστες προς ψεύτικους servers αναβάθμισης λογισμικού ώστε να εγκαθιστούν κακόβουλο software στους υπολογιστές τους, δήλωσε ο Zulfikar Ramizan, τεχνικός διευθυντής της Symantec. «Αυτό που καθιστά το όλο θέμα τρομακτικό είναι πως ο τελικός χρήστης μάλλον δεν θα αντιληφθεί τίποτα», είπε.
Το bug ανακαλύφηκε αρχικά από τον μελετητή της ΙΟActive, Dan Kaminsky, στις αρχές του μήνα, αλλά οι τεχνικές λεπτομέρειες του ελαττώματος διέρρευσαν στο διαδίκτυο στις αρχές αυτής της εβδομάδας, καθιστώντας τον κώδικα του Metasploit εφικτό. Ο Kamnisky είχε εργασθεί για αρκετούς μήνες με μεγάλους παρόχους λογισμικού DNS όπως η Microsoft, η Cisco και το Internet Systems Consortium (ISC) για τη δημιουργία ενός fix του προβλήματος. Οι εταιρικοί χρήστες και οι παροχείς υπηρεσιών Internet που είναι οι μεγαλύτεροι χρήστες DNS servers έπρεπε από τις 8 Ιουλίου να εγκαταστήσουν το fix, αρκετοί όμως ακόμη δεν του έχουν κάνει σε όλους τους DNS servers.
Η επίθεση είναι μια παραλλαγή της γνωστής επίθεσης cache poisoning. Έχει να κάνει με τον τρόπο που οι DNS clients και servers αποκτούν πληροφορία από άλλους DNS servers στο διαδίκτυο. Όταν το DNS software δεν γνωρίζει την αριθμητική ΙΡ διεύθυνση ενός υπολογιστή, απευθύνεται σε άλλον DNS server γι’ αυτήν την πληροφορία. Με το cache poisoning, ο εισβολέας ξεγελά το DNS software και το κάνει να πιστεύει πως νόμιμα domains όπως το idg.com αντιστοιχίζουν σε κακόβουλες ΙΡ διευθύνσεις.
Στην επίθεση του Kaminsky, μια προσπάθεια για cache poisoning περιλαμβάνει επίσης κάτι που είναι γνωστό ως δεδομένα «Additional Resource Record». Προσθέτοντας αυτά τα δεδομένα, η επίθεση γίνεται ακόμη πιο ισχυρή, σύμφωνα με τους ειδικούς ασφαλείας.
Κάποιος εισβολέας θα μπορούσε να εξαπολύσει μια τέτοια επίθεση ενάντια στους domain name servers ενός ISP και στη συνέχεια να τους οδηγήσει σε κακόβουλους servers. Δηλητηριάζοντας το αρχείο domain name για το www.citibank.com για παράδειγμα, οι εισβολείς θα μπορούν να οδηγούν τους χρήστες του ISP προς έναν κακόβουλο phishing server κάθε φορά που προσπαθούν να επισκεφθούν το site της τράπεζας με τον web browser τους.
Τη Δευτέρα, η εταιρία ασφαλείας Matasano δημοσίευσε από λάθος λεπτομέρειες της ατέλειας στην ιστοσελίδα της. Η Matasano πολύ γρήγορα αφαίρεσε τη δημοσίευση και απολογήθηκε για το λάθος της, όμως ήταν πολύ αργά. Λεπτομέρειες της ατέλειας σύντομα βρέθηκαν διάσπαρτες στο διαδίκτυο.
Παρά το ότι υπάρχει διαθέσιμο το fix για τους περισσότερους χρήστες DNS software, ίσως χρειαστεί χρόνος για αυτά τα updates να περάσουν από τη δοκιμαστική διαδικασία και να εγκατασταθούν τελικά στο δίκτυο.
«Ο περισσότερος κόσμος δεν έχει βάλει το patch ακόμη», δήλωσε ο Πρόεδρος της ISC, Paul Vixie σε μία συνέντευξη μέσω e-mail στις αρχές αυτής της εβδομάδας. «Είναι ένα τεράστιο πρόβλημα για όλον τον κόσμο».
Ο κώδικας της Metasploit δείχνει «πολύ αληθινός» και χρησιμοποιεί τεχνικές για τις οποίες δεν υπήρχε πρόσφατα σχετική βιβλιογραφία, είπε ο Amit Klein (chief technology officer της Trusteer).
Πιθανώς θα χρησιμοποιηθεί σε επιθέσεις, πρόβλεψε. «Τώρα που το κενό ασφάλειας βρίσκεται εκεί έξω, σε συνδυασμό με το γεγονός πως δεν έχουν αναβαθμιστεί όλοι οι DNS servers… οι εισβολείς θα μπορούν να προσβάλλουν την cache ορισμένων ISP», έγραψε σε μια συνέντευξη. «Το θέμα είναι – ίσως να μη μάθουμε ποτέ για τέτοιες επιθέσεις αν οι εισβολείς δράσουν προσεκτικά και καλύψουν τα ίχνη τους όπως πρέπει»."
ΠΗΓΗ: InfoWorld
"Λογισμικό που εκμεταλλεύεται ένα πρόσφατα ανακοινωθέν κενό ασφαλείας στο DNS software που χρησιμοποιείται για τη δρομολόγηση μηνυμάτων μεταξύ υπολογιστών στο διαδίκτυο, κυκλοφόρησε από hackers.
Ο κώδικας επίθεσης κυκλοφόρησε την Τετάρτη από developers της Metasploit.
Ειδικοί στην ασφάλεια του διαδικτύου προειδοποιούν πως αυτός ο κώδικας ενδέχεται να παρέχει στους εγκληματίες τον τρόπο για να προβούν σε επιθέσεις phishing που δεν θα είναι ανιχνεύσιμες σε βάρος χρηστών διαδικτύου των οποίων οι παροχείς δεν έχουν εγκαταστήσει τα πιο πρόσφατα patches για DNS servers.
Οι εισβολείς θα μπορούν επίσης να χρησιμοποιούν τον κώδικα για να οδηγούν σιωπηρά τους χρήστες προς ψεύτικους servers αναβάθμισης λογισμικού ώστε να εγκαθιστούν κακόβουλο software στους υπολογιστές τους, δήλωσε ο Zulfikar Ramizan, τεχνικός διευθυντής της Symantec. «Αυτό που καθιστά το όλο θέμα τρομακτικό είναι πως ο τελικός χρήστης μάλλον δεν θα αντιληφθεί τίποτα», είπε.
Το bug ανακαλύφηκε αρχικά από τον μελετητή της ΙΟActive, Dan Kaminsky, στις αρχές του μήνα, αλλά οι τεχνικές λεπτομέρειες του ελαττώματος διέρρευσαν στο διαδίκτυο στις αρχές αυτής της εβδομάδας, καθιστώντας τον κώδικα του Metasploit εφικτό. Ο Kamnisky είχε εργασθεί για αρκετούς μήνες με μεγάλους παρόχους λογισμικού DNS όπως η Microsoft, η Cisco και το Internet Systems Consortium (ISC) για τη δημιουργία ενός fix του προβλήματος. Οι εταιρικοί χρήστες και οι παροχείς υπηρεσιών Internet που είναι οι μεγαλύτεροι χρήστες DNS servers έπρεπε από τις 8 Ιουλίου να εγκαταστήσουν το fix, αρκετοί όμως ακόμη δεν του έχουν κάνει σε όλους τους DNS servers.
Η επίθεση είναι μια παραλλαγή της γνωστής επίθεσης cache poisoning. Έχει να κάνει με τον τρόπο που οι DNS clients και servers αποκτούν πληροφορία από άλλους DNS servers στο διαδίκτυο. Όταν το DNS software δεν γνωρίζει την αριθμητική ΙΡ διεύθυνση ενός υπολογιστή, απευθύνεται σε άλλον DNS server γι’ αυτήν την πληροφορία. Με το cache poisoning, ο εισβολέας ξεγελά το DNS software και το κάνει να πιστεύει πως νόμιμα domains όπως το idg.com αντιστοιχίζουν σε κακόβουλες ΙΡ διευθύνσεις.
Στην επίθεση του Kaminsky, μια προσπάθεια για cache poisoning περιλαμβάνει επίσης κάτι που είναι γνωστό ως δεδομένα «Additional Resource Record». Προσθέτοντας αυτά τα δεδομένα, η επίθεση γίνεται ακόμη πιο ισχυρή, σύμφωνα με τους ειδικούς ασφαλείας.
Κάποιος εισβολέας θα μπορούσε να εξαπολύσει μια τέτοια επίθεση ενάντια στους domain name servers ενός ISP και στη συνέχεια να τους οδηγήσει σε κακόβουλους servers. Δηλητηριάζοντας το αρχείο domain name για το www.citibank.com για παράδειγμα, οι εισβολείς θα μπορούν να οδηγούν τους χρήστες του ISP προς έναν κακόβουλο phishing server κάθε φορά που προσπαθούν να επισκεφθούν το site της τράπεζας με τον web browser τους.
Τη Δευτέρα, η εταιρία ασφαλείας Matasano δημοσίευσε από λάθος λεπτομέρειες της ατέλειας στην ιστοσελίδα της. Η Matasano πολύ γρήγορα αφαίρεσε τη δημοσίευση και απολογήθηκε για το λάθος της, όμως ήταν πολύ αργά. Λεπτομέρειες της ατέλειας σύντομα βρέθηκαν διάσπαρτες στο διαδίκτυο.
Παρά το ότι υπάρχει διαθέσιμο το fix για τους περισσότερους χρήστες DNS software, ίσως χρειαστεί χρόνος για αυτά τα updates να περάσουν από τη δοκιμαστική διαδικασία και να εγκατασταθούν τελικά στο δίκτυο.
«Ο περισσότερος κόσμος δεν έχει βάλει το patch ακόμη», δήλωσε ο Πρόεδρος της ISC, Paul Vixie σε μία συνέντευξη μέσω e-mail στις αρχές αυτής της εβδομάδας. «Είναι ένα τεράστιο πρόβλημα για όλον τον κόσμο».
Ο κώδικας της Metasploit δείχνει «πολύ αληθινός» και χρησιμοποιεί τεχνικές για τις οποίες δεν υπήρχε πρόσφατα σχετική βιβλιογραφία, είπε ο Amit Klein (chief technology officer της Trusteer).
Πιθανώς θα χρησιμοποιηθεί σε επιθέσεις, πρόβλεψε. «Τώρα που το κενό ασφάλειας βρίσκεται εκεί έξω, σε συνδυασμό με το γεγονός πως δεν έχουν αναβαθμιστεί όλοι οι DNS servers… οι εισβολείς θα μπορούν να προσβάλλουν την cache ορισμένων ISP», έγραψε σε μια συνέντευξη. «Το θέμα είναι – ίσως να μη μάθουμε ποτέ για τέτοιες επιθέσεις αν οι εισβολείς δράσουν προσεκτικά και καλύψουν τα ίχνη τους όπως πρέπει»."
ΠΗΓΗ: InfoWorld