DNS Cache Poisoning mit Metasploit

By on 31. Juli 2008

Zur Zeit haben Hacker verstärkt die Möglichkeit, Internetnutzer auf Fake-Websites umzuleiten. Diese Form von Extrem-Phishing ist für den Nutzer selbst sehr schwer festzustellen, da der Hacker nicht primär den Computer des Users, sondern den Cache des DNS-Servers der Internetgesellschaft angreift.

Dan Kaminsky, DNS-Experte und IOActive Forscher, war seit Monaten damit beschäftigt, für den Bug in den DNS Systemen der Provider eine Lösung zu finden. Die hatte er auch gefunden und einen Patch veröffentlicht, den die Betreiber aufspielen sollten. Bis zur Black Hat Security Conference am 6. August wollte Kaminsky die Details des Bugs unter Verschluss halten, um den Firmen Zeit zu geben, ihre Systeme zu patchen.

Pikanterweise hat aber der CEO von Zynamics.com, Thomas Dullien alias Halvar Flake, den Misstand in der Programmierung erraten, ohne größere DNS-Kenntnisse zu besitzen. Sein Blogpost, kombiniert mit der überhasteten Bestätigung auf dem Blog einer Sicherheitsfirma, hat laut networkworld dazu geführt, dass das Hacker Tool Metasploit gebaut werden konnte.

Dieses ermöglicht dem Hacker, in die DNS Abfrage des Computernutzers einzugreifen und dem DNS Server vorzugaukeln, die Adresse der gesuchten Website wäre eine andere, als dies in der Realität der Fall ist. Beispielsweise könnte jemand der Meinung sein, er surfe auf Google, der Cache seines DNS-Servers wäre aber vergiftet worden und sein Browser würde zu einer Seite weitergeleitet, die nur so aussähe wie Google.

Vor die Fake-Seite sind dann beispielsweise drei unsichtbare Seiten geschaltet, die automatisch auf eine Werbeanzeige klicken. Es könnten aber auch Versuche gestartet werden, auf dem Rechner Malware oder Trojaner zu installieren.

Quellen: networkworld und Heise

Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.