Bisher veröffentlichte Patches, die Server gegen die sogenannte Kaminsky-Attacke absichern sollen, bieten im Fall einer für Unternehmen typischen Konfiguration keinerlei Schutz. Die in vielen Firmen eingesetzten Gateways nämlich kontern den in den Patches umgesetzten Sicherheitsmechanismus. Dies ergaben ZDNet-Recherchen.
Die Kaminsky-Attacke erlaubt einem Angreifer, einen DNS-Server innerhalb weniger Sekunden mit gefälschten Cache-Einträgen zu verseuchen. Viele Hersteller arbeiten seit Sommer 2008 an einem Software-Update, das diese Gefahr endgültig abwehrt.
Besonders gefährlich an einer Cache-Attacke ist, dass ein verseuchter DNS-Server „gutgläubig“ andere Server der weltweit verteilten Datenbank mit falschen Einträgen versorgt. Besonders lohnenswert sind solche Angriffe für Phisher: Auch wenn ein ahnungsloser Nutzer die korrekte URL seiner Bank von Hand eintippt, landet er so auf der Website des Phishers. Firmen, die DNS-Server im Intranet betreiben und über NAT an das Internet angebunden sind, bieten auch Patches keinerlei Schutz. Schuld daran sind Enterprise-Level-Internet-Gateways, die den Effekt des Patches wieder aufheben.
Diese High-End-Komponenten limitieren die Ports, mit denen ein Rechner im Internet sichtbar wird, damit es einem einzigen Nutzer nicht möglich ist, alle 65.536 verfügbaren Internetverbindungen einer öffentlichen IP-Adresse für sich allein zu beanspruchen. Betroffen von diesem gefährlichen Sicherheitsloch für DNS-Server im Intranet ist auch Marktführer Cisco.
Kleine Unternehmen, die Consumer-Level-Router, etwa eine Fritzbox, einsetzen, müssen sich keine Gedanken machen. Die NAT-Logik dieser Geräte ist nicht „schlau“ genug, um ein solches Sicherheitsleck zu schaffen.
Auch Anwender von High-End-Komponenten können ihre DNS-Server sicher betreiben, allein das Patchen auf die aktuelle Version reicht jedoch nicht aus. ZDNet hat einen ausführlichen Bericht zusammengestellt, der detaillierte technische Hintergründe und Handlungsempfehlungen liefert.
Der von ZDNet durchgeführte Test zeigt, dass ein Cisco-Gateway die Wirkung des DNS-Patches größtenteils wieder aufhebt.