Anfallskod utlöst för nytt DNS-angrepp

Hackers har släppt program som utnyttjar en nyligen avslagen fel i DNS-programvaran Domännamnssystem som används för att styra meddelanden mellan datorer på Internet.

Anfallskoden släpptes onsdag av utvecklare av Metasploit hackingverktyg.

Internetsäkerhetsexperter varnar för att detta kod kan ge brottslingar ett sätt att starta praktiskt taget odetekterbara phishing-attacker mot Internet-användare vars tjänsteleverantörer inte har installerat de senaste DNS-serverns patchar.

[Ytterligare läsning: Bästa NAS-lådor för media streaming och backup]

Attackers kan också använda koden för att omdirigera användare till falska programvaruuppdateringsservrar för att installera skadlig programvara på sina datorer, säger Zulfikar Ramizan, en teknisk direktör med säkerhetsleverantör Symantec. "Det som gör det här hela är verkligen skrämmande, det är från ett slutanvändarperspektiv att de kanske inte märker någonting", sa han.

Felet var först avslöjat av IOActive-forskaren Dan Kaminsky tidigare i månaden, men tekniska detaljer om felet var läckt ut på Internet tidigare i veckan, vilket gör Metasploit-koden möjlig. Kaminsky hade arbetat i flera månader med stora leverantörer av DNS-programvara som Microsoft, Cisco och Internet Systems Consortium (ISC) för att utveckla en lösning för problemet. Företagets användare och Internet-leverantörer som är de största användarna av DNS-servrar har haft den 8 juli för att korrigera felet, men många har ännu inte installerat korrigeringen på alla DNS-servrar.

Anfallet är en variation på vad som är känt som en cacheförgiftningsattack. Det har att göra med hur DNS-klienter och servrar får information från andra DNS-servrar på Internet. När DNS-programvaran inte känner till den numeriska IP-adressen (Internet Protocol) för en dator, frågar den en annan DNS-server för denna information. Med cacheförgiftning tränger angriparen DNS-programvaran till att tro att legitima domäner, till exempel idg.com, lägger till skadliga IP-adresser.

I Kaminsky's attack innehåller ett cache-förgiftningsförsök även det som kallas "Extra Resource Record" -data. Genom att lägga till dessa data blir attacken mycket kraftigare, säger säkerhetsexperter.

En angripare kan starta en sådan attack mot domännamnsservrarna hos en Internetleverantör (Internet Service Provider) och sedan omdirigera dem till skadliga servrar. Genom att förgifta domännamnsposten för www.citibank.com kan till exempel angriparna omdirigera Internetleverantörens användare till en skadlig phishing-server varje gång de försökte besöka banksidan med sin webbläsare.

På måndagen, säkerhetsföretag Matasano lämnade oavsiktligt uppgifter om felet på sin webbplats. Matasano tog snabbt bort posten och bad om ursäkt för sitt misstag, men det var för sent. Detaljer om felet spreds snart på Internet.

Även om en programvarufix är tillgänglig för de flesta användare av DNS-programvara, kan det ta tid för uppdateringarna att arbeta sig igenom testprocessen och faktiskt installeras på nätverket.

"De flesta har inte patchat ännu", sa ISC: s president Paul Vixie i en e-postintervju tidigare i veckan. "Det är ett gigantiskt problem för världen."

Metasploits kod ser "väldigt riktig ut" och använder tekniker som inte tidigare dokumenterats, säger Amit Klein, chefstekniker med Trusteer.

Det kommer antagligen att användas i attacker, han förutspådde. "Nu när exploateringen finns där ute, kombinerat med att inte alla DNS-servrar uppgraderades … måste angripare kunna gifta cachen hos vissa Internetleverantörer," skrev han i en e-postintervju. "Saken är - vi kan aldrig veta om sådana attacker, om angriparna … jobbar försiktigt och täcker deras spår ordentligt."