Код атаки, выпущенный для новой атаки DNS

Хакеры выпустили программное обеспечение, которое использует недавно обнаруженный недостаток в программном обеспечении системы доменных имен (DNS), используемом для маршрутизации сообщений между компьютерами в Интернете.

Код атаки был выпущен в среду разработчиками инструментария взлома Metasploit.

Эксперты по безопасности в Интернете предупреждают, что это код может дать преступникам возможность запускать практически необнаруживаемые фишинг-атаки против интернет-пользователей, чьи поставщики услуг не установили последние обновления DNS-сервера.

[Подробнее читайте: Лучшие NAS-боксы для потоковой передачи и резервного копирования мультимедиа]

Атакующие могут также использовать код для бесшумного перенаправления пользователей на поддельные серверы обновлений программного обеспечения для установки вредоносного программного обеспечения на их компьютеры, сказал Зульфикар Рамизан, технический директор подразделения безопасности Symantec. «Что делает все это действительно страшным, так это то, что с точки зрения конечного пользователя они ничего не замечают», - сказал он.

В начале этого месяца ошибка была впервые обнаружена исследователем IOActive Дэн Камински, но технические детали этого недостатка были просочился в Интернет на этой неделе, сделав код Metasploit возможным. Каминский несколько месяцев работал с основными поставщиками программного обеспечения DNS, таких как Microsoft, Cisco и консорциум Internet Systems Consortium (ISC), чтобы разработать решение проблемы. Корпоративные пользователи и поставщики интернет-услуг, которые являются основными пользователями DNS-серверов, имели с 8 июля исправление недостатка, но многие еще не установили исправление на всех DNS-серверах.

Атака - это вариация на так называемом атака отравления кешем. Это связано с тем, как клиенты и серверы DNS получают информацию от других DNS-серверов в Интернете. Когда программное обеспечение DNS не знает адрес IP-адреса компьютера (Internet Protocol), он запрашивает у этого DNS-сервера другой DNS-сервер. С отравлением кэша злоумышленник обманывает программное обеспечение DNS, полагая, что легитимные домены, такие как idg.com, сопоставляются с вредоносными IP-адресами.

В атаке Камински попытка отравления кэша также включает в себя то, что известно как данные «Дополнительная запись ресурсов», Добавляя эти данные, атака становится намного более сильной, говорят эксперты по безопасности.

Злоумышленник может запустить такую ​​атаку на серверы имен доменов интернет-провайдера (ISP), а затем перенаправить их на вредоносные серверы. Например, отравив запись имени домена для www.citibank.com, злоумышленники могут перенаправить пользователей интернет-провайдера на вредоносный сервер фишинга каждый раз, когда они пытались посетить банковский сайт с помощью своего веб-браузера.

В понедельник компания по безопасности Матасано случайно опубликовал информацию об изъянах на своем веб-сайте. Матасано быстро удалил сообщение и извинился за свою ошибку, но было уже слишком поздно. Подробности об ошибке вскоре распространились по всему Интернету.

Хотя исправление программного обеспечения теперь доступно большинству пользователей программного обеспечения DNS, может потребоваться время, чтобы эти обновления пробивались через процесс тестирования и фактически устанавливались в сети.

«Большинство людей еще не исправлены», - сказал президент ISC Пол Викси в интервью по электронной почте в начале этой недели. «Это огромная проблема для всего мира».

Код Metasploit выглядит «очень реально» и использует методы, которые ранее не были документированы, сказал Амит Клейн, главный технический директор Trusteer.

Он, вероятно, будет использоваться в атаках, он предсказал. «Теперь, когда эксплойт существует, в сочетании с тем, что не все DNS-серверы были обновлены … злоумышленники должны быть способны отравить кеш некоторых интернет-провайдеров», - писал он в интервью по электронной почте. «Дело в том, что мы никогда не узнаем о таких атаках, если атакующие … будут тщательно работать и правильно накрывать свои треки».