Forscher entdecken neue DNS-Schwachstelle mit Spionagefähigkeiten auf Staatsebene
Kürzlich wurde eine neue DNS-Schwachstelle entdeckt. Forschern zufolge kann dieser Fehler Hackern die Überwachungskapazitäten von Staaten und den Zugriff auf Informationen in privaten und Unternehmensnetzwerken ermöglichen. Diese Schwachstelle hat erhebliche Auswirkungen auf die Anbieter von DNS-as-a-Service.
Forscher von Wiz, einem Unternehmen für Cloud-Infrastruktursicherheit, untersuchten die Schwachstelle durch Amazon Route 53 und entdeckten die Angriffsmethode. Sie sagten: „Wir haben eine einfache Lücke gefunden, die es uns ermöglichte, einen Teil des weltweiten dynamischen DNS-Verkehrs abzufangen, der durch verwaltete DNS-Anbieter wie Amazon und Google läuft“.
Die Forscher behaupteten, dass der Fehler sowohl private als auch staatliche Stellen auf der ganzen Welt betreffen kann. „Der dynamische DNS-Verkehr, den wir ‚abhören‘ konnten, kam von über 15.000 Organisationen, darunter Fortune-500-Unternehmen, 45 US-Regierungsbehörden und 85 internationale Regierungsbehörden“, so Wiz.
Darüber hinaus könnte der Hack zu DNS-Entführungsangriffen führen. Die Forschung zeigt, dass man einen Domainnamen (wie amazonaws.com) mit einem Amazon S3 Bucket (dessen Host in Route 53 wohnt) verbinden und dann eine Änderungsaufzeichnung erstellen und sie mit einem Domainnamen assoziieren kann. Dies ermöglicht es einem Angreifer, den Verkehr von seinem eigenen Domainnamen umzuleiten und die von AWS eingerichteten Schutzmaßnahmen zu umgehen.
„Immer wenn ein DNS-Client diesen Namensserver über sich selbst abfragt (was Tausende von Geräten automatisch machen, um ihre IP-Adresse innerhalb ihres verwalteten Netzwerks zu aktualisieren – dazu gleich mehr), geht dieser Verkehr direkt zu unserer IP-Adresse“, sagten die Wiz-Forscher.
Mögliche Auswirkungen der neuen DNS-Schwachstelle
Basierend auf den durchgeführten Tests haben die Wiz-Forscher angeblich DNS-Verkehr von über 15.000 Organisationen erhalten. Die erhaltenen Daten enthielten IP-Adressen, Bürostandorte und Benutzernamen.
Die Forscher geben an, dass das Problem mit einem Algorithmus zusammenhängt, den Windows-Geräte verwenden, um einen Haupt-DNS-Server zu finden und zu aktualisieren, wenn sich IP-Adressen ändern. „[Der durchgesickerte Verkehr] gibt jedem einen Überblick über das, was in Unternehmen und Regierungen vor sich geht. Wir vergleichen dies mit der Spionagefähigkeit auf staatlicher Ebene, und es war so einfach, wie eine Domain zu registrieren“, erklärten die Wiz-Forscher.
Die möglichen Auswirkungen eines Cyber-Angriffs wurden demonstriert, als die Forscher die aus dem Verkehr von über 40.0000 Servern gewonnenen Daten verwendeten, um zu kartieren, wo Mitarbeiter eines großen Dienstleistungsunternehmens wohnen.
Die erhaltenen Daten enthielten auch Mitarbeiterdetails und sensible Informationen über die Infrastruktur der Organisation. Mit den Informationen, die auf den meisten Corporate Websites zu finden sind, kann ein Bedrohungsakteur alles haben – einen Überblick über alle Mitarbeiter, Standorte, Strukturen und andere Dinge, die dazu verwendet werden könnten, ein Netzwerk zu infiltrieren.
Die Forscher von Black Hat sagten: „Die Auswirkungen sind enorm. Von den sechs großen DNSaaS-Anbietern, die wir untersucht haben, waren drei für die Registrierung von Nameservern anfällig. Jeder Cloud-Anbieter, Domain-Registrar und Website-Host, der DNSaaS anbietet, könnte gefährdet sein.“
Die Forscher fügten hinzu, dass es keine Beweise dafür gibt, dass die DNS-Schwachstelle zuvor in freier Wildbahn ausgenutzt wurde. Allerdings hätte sie jeder mit Kenntnis davon und einigen Fähigkeiten seit mehr als einem Jahrzehnt missbrauchen können.
Behebung der DNS-Schwachstelle
Nachdem Amazon und Google informiert wurden, haben sie den Fehler behoben. Die Wiz-Forscher glauben jedoch, dass andere DNS-Anbieter anfällig sein könnten und Millionen dem Angriff aussetzen könnten.
Die Forscher haben auch Microsoft informiert, doch diese antworteten, dass es sich um eine „bekannte Fehlkonfiguration handelt, die auftritt, wenn eine Organisation mit externen DNS-Resolvern zusammenarbeitet“, und nicht um eine Schwachstelle.
Da Microsoft, das die dynamische DNS-Algorithmen anpassen kann, bereits behauptet, dass es sich nicht um eine Schwachstelle handelt, ist es unklar, wer diesen kritischen DNS-Fehler beheben sollte.
Wiz behauptet, dass Dienstanbieter einige Schritte unternehmen könnten, um Datenlecks und DDOS-Angriffe zu verhindern. Organisationen können Datenlecks verhindern, indem sie ihre DNS-Resolver richtig konfigurieren.
Die Empfehlung von Redmond ist, unterschiedliche DNS-Namen und -Zonen für interne und externe Hosts zu verwenden und die Anleitung zur korrekten Konfiguration von dynamischen Updates in Windows zu befolgen. Dies verringert das Risiko von Konflikten und ermöglicht es den Computern in Ihrem lokalen Netzwerk, ihre DNS-Einstellungen automatisch zu lösen.
Anbieter von verwaltetem DNS können auch das Problem des DNS-Hijacking lösen, indem sie Domains überprüfen und validieren, bevor sie Kunden auffordern, diese zu registrieren. Darüber hinaus können sie der RFC-Spezifikation für „reservierte Namen“ folgen, um dies zu verhindern.
Unternehmen mit gemieteten DNS-Servern können Lecks in ihrem Internetnetzwerkverkehr verhindern, indem sie ihr dynamisches DNS aktualisieren und den Standard-Start-of-Authority (SOA)-Datensatz ändern.
Schlussfolgerung
Wiz-Forscher haben eine neue DNS-Schwachstelle entdeckt, die DDOS-Angriffe verursachen kann. Sie wurde getestet und hat sich als fähig zum Ausspionieren auf Staatsebene erwiesen. Die Schwachstelle kann Unternehmen, Einzelpersonen sowie staatliche Stellen beeinträchtigen. Sie kann sensible Informationen über Mitarbeiter freigeben und Unternehmen stören. Amazon und Google haben das Problem in ihrem System behoben, aber Microsoft besteht darauf, dass es keine Schwachstelle gibt.
Die Wiz-Forscher rieten Organisationen, ihre DNS zu aktualisieren und Cyber-Sicherheit ernst zu nehmen, um DDOS-Angriffe zu verhindern.