Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen

Software - Firmware

Zwei Millionen Schadprogramme 2016 enthüllt – Experten


WhatsApp Anfälligkeit zur israelischen Spyware installieren Benutzer aufgefordert, Upgrade

Hunderte von Millionen von PC-Komponenten haben immer noch hackbare Firmware
Identitätsdiebstahl: Sicherheitsforscher warnen vor grundlegender Lücke in LTE-Netzen

Eine Elite-Spionagegruppe nutzte 5 Zero-Days, um Nordkoreaner zu hacken

Diese Karte zeigt die globale Verbreitung von Zero-Day Hacking-Techniken
Web-Giganten scrambled to Head Off eine gefährliche DDoS-Technik
Bot jagt Software-Bugs für das Pentagon
Schlampige Software-Patches sind ein "beunruhigender Trend"
 
 
W i r e d
weiter

Web-Giganten scrambled to Head Off eine gefährliche DDoS-Technik

Web-Giganten scrambled to Head Off eine gefährliche DDoS-Technik


Andy Greenberg Sicherheit 05.19.2020 06:00 AM
Web-Giganten scrambled to Head Off eine gefährliche DDoS-Technik
Firmen wie Google und Cloudflare rannten an, um einen Amplifikationsangriff zu verhindern, der
 mit nur wenigen hundert Geräten große Teile des Internets zu vereisten drohte.

Im Oktober 2016 ein Botnet von gehackten Überwachungskameras und Internet-Router namens Mirai zielte auf eine gigantische Flut von Junk-Traffic auf den Servern von Dyn, eines der Unternehmen, die das globale Verzeichnis für das Web bekannt als Domain Name System oder DNS. Der Angriff nahm Amazon, Reddit, Spotify und Slack vorübergehend für Nutzer entlang der Ostküste der USA. Nun sagt eine Gruppe von Forschern, dass eine Schwachstelle in DNS ein ähnliches Angriffsausmaß ermöglichen könnte, aber viel weniger gehackte Computer erfordert. Seit Monaten eilen die für das Telefonbuch des Internets verantwortlichen Unternehmen, um es zu beheben.
Heute veröffentlichten Forscher der Universität Tel Aviv und des Interdisziplinären Zentrums von Herzliya in Israel neue Details einer Technik, von der sie sagen, dass sie es einer relativ kleinen Anzahl von Computern ermöglichen könnte, verteilte Denial-of-Service-Angriffe in großem Umfang durchzuführen, wobei Ziele mit betrügerischen Informationsanfragen überwältigt werden, bis sie offline geschaltet werden. Die DDoS-Technik, die die Forscher NXNSAttack nannten, nutzt Schwachstellen in gängiger DNS-Software aus. DNS konvertiert die Von Ihnen angeklickten oder eingegebenen Domainnamen in die Adressleiste Ihres Browsers in IP-Adressen. Aber der NXNSAttack kann dazu führen, dass ein unwissender DNS-Server jedes Mal Hunderttausende von Anforderungen ausführt, wenn ein Hacker-Computer nur einen sendet.
Dieser multiplikative Effekt bedeutet, dass ein Angreifer nur eine Handvoll gehackter Maschinen oder sogar eigene Geräte verwenden könnte, um leistungsstarke DDoS-Angriffe auf DNS-Server durchzuführen, was möglicherweise zu Störungen im Mirai-Maßstabführen könnte. "Mirai hatte etwa 100.000 IoT-Geräte, und hier denke ich, dass man mit nur ein paar hundert Geräten die gleiche Wirkung haben kann", sagt Lior Shafir, einer der Forscher der Universität Tel Aviv, dessen Arbeit von Yehuda Afek und ANat Bremler-Barr von IDC Herzliya überwacht wurde. "Es ist eine sehr ernste Verstärkung", fügt Shafir hinzu. "Sie könnten dies nutzen, um kritische Teile des Internets zu fallen."

Oder zumindest hätten Sie es vor ein paar Monaten tun können. Seit Februar haben die Forscher eine breite Sammlung von Unternehmen, die für die Infrastruktur des Internets verantwortlich sind, auf ihre Ergebnisse aufmerksam gemacht. Die Forscher sagen, dass diese Firmen, einschließlich Google, Microsoft, Cloudflare, Amazon, Dyn (jetzt im Besitz von Oracle), Verisign und Quad9 haben alle ihre Software aktualisiert, um das Problem zu beheben, wie mehrere Hersteller der DNS-Software, die diese Unternehmen verwenden.
"Selbst wenn einige von ihnen gepatcht sind, wird es immer eine geben, die kein Update erhalten hat."
Dan Kaminsky, Weiße Ops
Obwohl DNS-Verstärkungsangriffe nicht neu sind, stellt NXNSAttack eine besonders explosive dar. In einigen Fällen, sagen die Forscher, ist es in der Lage, die Bandbreite von nur wenigen Maschinen so viel wie 1.600-fach multiplizieren. Und selbst nach Monaten des koordinierten Patchens könnten Ecken des Internets immer noch anfällig für die Technik bleiben, sagt Dan Kaminsky, Chefwissenschaftler bei der Sicherheitsfirma White Ops und ein bekannter DNS-Forscher. Im Jahr 2008 fand Kaminsky einen grundlegenden Fehler in DNS, der Es Hackern zu ermöglichen drohte, Benutzer, die versuchen, eine Website zu besuchen, auf eine betrügerische Website ihrer Wahl umzuleiten, und startete in ähnlicher Weise eine koordinierte Lösung über große DNS-Anbieter hinweg. Schon damals dauerte es Monate, bis Kaminskys Fehler – einer, der viel schwerwiegender war als NXNSAttack – nahezu vollständig gepatcht war.

"Es gibt eine Million dieser Dinge, und selbst wenn einige von ihnen gepatcht sind, wird es immer eine geben, die kein Update erhalten hat", sagt Kaminsky über die DNS-Server, die im Internet verteilt sind. "Dies ist eine sehr gute Arbeit darüber, wie DNS fehlschlagen kann."

Um zu verstehen, wie der NXNSAttack funktioniert, hilft es, die größere hierarchische Struktur von DNS über das Internet zu verstehen. Wenn ein Browser nach einer Domäne wie google.com sucht, überprüft er einen DNS-Server, um die IP-Adresse dieser Domäne zu ermitteln, eine Zahl wie 64.233.191.255. In der Regel werden diese Anforderungen von DNS-"Resolver"-Servern beantwortet, die von DNS-Anbietern und Internetdienstanbietern gesteuert werden. Wenn diese Resolver jedoch nicht über die richtige IP-Adresse verfügen, bitten sie einen "autorisierenden" Server, der bestimmten Domänen zugeordnet ist, um eine Antwort.

Der NXNSAttack missbraucht die vertrauenswürdige Kommunikation zwischen diesen verschiedenen Ebenen der DNS-Hierarchie. Es erfordert nicht nur Zugriff auf eine Sammlung von PCs oder anderen Geräten – von einem einzelnen Computer bis zu einem Botnetz –, sondern auch die Erstellung von DNS-Servern für eine Domäne; nennen sie "attacker.com". (Die Forscher argumentieren, dass jeder diese Einrichtung für nur ein paar Dollar zusammenstellen kann.) Dann würde der Angreifer eine Flut von Anfragen von seinen Geräten für die Domäne senden, die sie kontrollieren, oder genauer gesagt eine Reihe von gefälschten Subdomains wie 123.attacker.com, 456.attacker.com und so weiter, indem er Zeichenfolgen von Zufallszahlen verwendet, um die Subdomain-Anforderungen ständig zu variieren.
Bei versuchten Webbesuchen wird der Resolverserver eines DNS-Anbieters dazu veranlassen, sich mit einem autorisierenden Server zu erkundigen, der in diesem Fall der DNS-Server unter der Kontrolle des Angreifers ist. Anstatt lediglich eine IP-Adresse anzugeben, teilt dieser autorisierende Server dem Resolver mit, dass er das Ziel der angeforderten Subdomänen nicht kennt, und weist den Resolver an, stattdessen einen anderen DNS-autorisierungsserver nach der IP-Adresse zu fragen, und die Anforderung an eine Zieldomäne nach Wahl des Angreifers weitergibt.
Die Forscher fanden heraus, dass sie jede Anfrage für eine dieser nicht vorhandenen Subdomains in ihrer eigenen attacker.com Domäne an Hunderte von nicht existierenden Subdomains weiterleiten konnten, die alle zu einer Zieldomäne gehören, wie z. B. victim.com. Diese Hunderte von Anforderungen könnten es einem Hacker ermöglichen, nicht nur die Resolver-DNS-Server zu überwältigen, indem er sie dazu verleitet, mehr Anforderungen zu senden, als die Server verarbeiten können – was möglicherweise einen Teil des DNS-Anbieterdienstes abbaut, wie es beim Mirai-Botnet-Angriff auf Dyn geschehen ist –, sondern auch die autoritativen DNS-Server des Opfers überfluten, die diese Anforderungen empfangen, wodurch dieses Ziel victim.com Website entfernt werden könnte.












Ein gut verteidigtes Ziel würde wahrscheinlich erkennen, dass sich ein einzelner böswilliger DNS-Server hinter dem Angriff befand, und nicht mehr auf Anforderungen reagieren, die von der Domäne des Angreifers verwiesen werden. Aber die Universität von Tel Aviv Shafir weist darauf hin, dass Angreifer mehrere Domains verwenden können, um den Angriff zu variieren und den Schmerz zu verlängern. "Man kann Dutzende wie diese haben und sie alle paar Minuten ändern", sagt Shafir. "Es ist sehr einfach."
In einer anderen Variante des Angriffs fanden die Forscher heraus, dass ein Hacker sogar NXNSAttack auf nicht existierende Top-Level-Domains – gefälschte Suffixe von Webadressen wie ".fake" – lenken konnte, um die sogenannten Root-Server anzugreifen, die verfolgen, wo autoritative Server für Top-Level-Domains wie .com und .gov gefunden werden können. Während diese Root-Server sind in der Regel entworfen, um sehr große Bandbreite haben, die Forscher sagen, sie könnten mehr gefälschte Domains von diesen Zielservern als sie für gefälschte Subdomains in den anderen Versionen ihres Angriffs, potenziell multiplizieren jede Anforderung mit mehr als tausendfach und bedrohlich große Teile des gesamten Webs.
"Wenn Sie versuchen, einen Root-Server anzugreifen, wird der Angriff viel zerstörerischer", sagt Shafir. "Wir können nicht beweisen, dass sie abgerissen werden können, weil sie sehr starke Server sind, aber die Verstärkung ist sehr hoch und das sind die wichtigsten Vorteile. Teile des Internets würden in diesem schlimmsten Fall überhaupt nicht funktionieren."

Als WIRED auf eine Sammlung der wichtigsten DNS-Anbieter des Internets zukam, reagierten Google, Microsoft und Amazon nicht sofort. Dyns Muttergesellschaft Oracle sagte, sie prüfe die Forschung. "Der NXNSAttack hat einen großen Verstärkungsfaktor für einige DNS-Implementierungen, aber für Cloudflare war die Verstärkung gering und wurde durch die jüngsten Änderungen an unserer DNS-Software reduziert", schrieb John Graham-Cumming, Chief Technology Officer von Cloudflare. "Da die DNS-Verstärkung ein häufiges Problem ist, mit dem die Branche zu kämpfen hat, verfügte Cloudflare bereits über Abschwächungen, um zu verhindern, dass unser Dienst für große Amplifikationsangriffe verwendet wird."
"Teile des Internets würden überhaupt nicht funktionieren."
Lior Shafir, Universität Tel Aviv
John Todd, der Geschäftsführer des gemeinnützigen DNS-Anbieters Quad9, schrieb in einer E-Mail, dass "diese Bedrohung ziemlich real ist/war", stellte aber auch fest, dass es "etwas komplex ist, sie bereitzustellen und einige Fingerabdrücke zu hinterlässt", da der Angreifer seine eigenen DNS-Domänen ausführen müsste. Er stellte auch fest, dass die meisten DNS-Server von Unternehmen nur auf IP-Adressen innerhalb des Unternehmens reagieren, das sie besitzt, obwohl Internetdienstanbieter eher anfällig dafür sind, dass ihre DNS-Server von der NXNSAttack-Technik gekapert werden.
Angesichts der weit verbreiteten Patching bereits in Kraft, NXNSAttack stellt wahrscheinlich weniger eine kritische Bedrohung als es eine Erinnerung daran, wie die Infrastruktur des Internets ständig gepflegt und geschützt werden muss.
"Aus meiner Sicht bin ich einfach nur begeistert, dass die Art der Zusammenarbeit, die ich 2008 zurückbekommen habe, auch 2020 noch passiert", sagt Kaminsky von White Ops. "Das Internet ist nicht etwas, das überleben würde, wenn es nicht jedes Mal, wenn jemand etwas in Brand setzte, aktiv wieder zusammengeflickt würde."
https://www.wired.com/story/dns-ddos-amplification-attack/
s/

Di