Aktuelle DNS-Patches schützen Firmennetze nicht

Bisher veröffentlichte Patches, die Server gegen die sogenannte Kaminsky-Attacke absichern sollen, bieten im Fall einer für Unternehmen typischen Konfiguration keinerlei Schutz. Die in vielen Firmen eingesetzten Gateways nämlich kontern den in den Patches umgesetzten Sicherheitsmechanismus. Dies ergaben ZDNet-Recherchen.

Die Kaminsky-Attacke erlaubt einem Angreifer, einen DNS-Server innerhalb weniger Sekunden mit gefälschten Cache-Einträgen zu verseuchen. Viele Hersteller arbeiten seit Sommer 2008 an einem Software-Update, das diese Gefahr endgültig abwehrt.

Besonders gefährlich an einer Cache-Attacke ist, dass ein verseuchter DNS-Server „gutgläubig“ andere Server der weltweit verteilten Datenbank mit falschen Einträgen versorgt. Besonders lohnenswert sind solche Angriffe für Phisher: Auch wenn ein ahnungsloser Nutzer die korrekte URL seiner Bank von Hand eintippt, landet er so auf der Website des Phishers.
Firmen, die DNS-Server im Intranet betreiben und über NAT an das Internet angebunden sind, bieten auch Patches keinerlei Schutz. Schuld daran sind Enterprise-Level-Internet-Gateways, die den Effekt des Patches wieder aufheben.

Diese High-End-Komponenten limitieren die Ports, mit denen ein Rechner im Internet sichtbar wird, damit es einem einzigen Nutzer nicht möglich ist, alle 65.536 verfügbaren Internetverbindungen einer öffentlichen IP-Adresse für sich allein zu beanspruchen. Betroffen von diesem gefährlichen Sicherheitsloch für DNS-Server im Intranet ist auch Marktführer Cisco.

Kleine Unternehmen, die Consumer-Level-Router, etwa eine Fritzbox, einsetzen, müssen sich keine Gedanken machen. Die NAT-Logik dieser Geräte ist nicht „schlau“ genug, um ein solches Sicherheitsleck zu schaffen.

Auch Anwender von High-End-Komponenten können ihre DNS-Server sicher betreiben, allein das Patchen auf die aktuelle Version reicht jedoch nicht aus. ZDNet hat einen ausführlichen Bericht zusammengestellt, der detaillierte technische Hintergründe und Handlungsempfehlungen liefert.


Der von ZDNet durchgeführte Test zeigt, dass ein Cisco-Gateway die Wirkung des DNS-Patches größtenteils wieder aufhebt.

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

19 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

23 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago