Mã tấn công được phát hành cho Tấn công DNS mới

Tin tặc đã phát hành phần mềm khai thác lỗ hổng được tiết lộ gần đây trong phần mềm Hệ thống Tên miền (DNS) được sử dụng để định tuyến thư giữa các máy tính trên Internet.

Mã tấn công được phát hành vào thứ Tư bởi các nhà phát triển bộ công cụ hack của Metasploit. mã có thể cho bọn tội phạm một cách để khởi động các cuộc tấn công lừa đảo hầu như không thể phát hiện được đối với người dùng Internet mà các nhà cung cấp dịch vụ chưa cài đặt các bản vá lỗi máy chủ DNS mới nhất

[Đọc thêm: Các hộp NAS tốt nhất cho truyền thông và sao lưu]

mã để âm thầm chuyển hướng người dùng đến các máy chủ cập nhật phần mềm giả mạo để cài đặt phần mềm độc hại trên máy tính của họ, Zulfikar Ramizan, giám đốc kỹ thuật của nhà cung cấp bảo mật Symantec cho biết. "Điều làm cho toàn bộ điều này thực sự đáng sợ là từ góc nhìn của người dùng cuối họ có thể không nhận thấy bất cứ điều gì", ông nói.

Lỗi này được tiết lộ lần đầu bởi nhà nghiên cứu Dan Kaminsky của IOA hồi đầu tháng này, nhưng chi tiết kỹ thuật của lỗ hổng rò rỉ trên Internet vào đầu tuần này, làm cho mã Metasploit có thể. Kaminsky đã làm việc trong nhiều tháng với các nhà cung cấp phần mềm DNS lớn như Microsoft, Cisco và Hiệp hội Hệ thống Internet (ISC) để phát triển bản sửa lỗi cho vấn đề này. Những người dùng doanh nghiệp và nhà cung cấp dịch vụ Internet là những người dùng chính của các máy chủ DNS đã có từ ngày 8 tháng 7 để vá lỗ hổng, nhưng nhiều người vẫn chưa cài đặt bản vá trên tất cả các máy chủ DNS. một cuộc tấn công ngộ độc bộ nhớ cache. Nó liên quan đến cách các máy khách và máy chủ DNS thu thập thông tin từ các máy chủ DNS khác trên Internet. Khi phần mềm DNS không biết địa chỉ IP số (Giao thức Internet) của máy tính, nó sẽ hỏi một máy chủ DNS khác cho thông tin này. Với sự nhiễm độc bộ nhớ cache, kẻ tấn công lừa phần mềm DNS để tin rằng các miền hợp pháp, chẳng hạn như idg.com, ánh xạ tới địa chỉ IP độc hại.

Trong cuộc tấn công của Kaminsky, nỗ lực nhiễm độc cache cũng bao gồm dữ liệu "Dữ liệu bổ sung". Bằng cách thêm dữ liệu này, cuộc tấn công trở nên mạnh mẽ hơn, các chuyên gia bảo mật nói.

Kẻ tấn công có thể khởi động một cuộc tấn công như vậy đối với các máy chủ tên miền của ISP và sau đó chuyển hướng chúng đến các máy chủ độc hại. Bằng cách đầu độc hồ sơ tên miền cho www.citibank.com, ví dụ, những kẻ tấn công có thể chuyển hướng người dùng của ISP đến một máy chủ lừa đảo độc hại mỗi lần họ truy cập trang web ngân hàng bằng trình duyệt Web của họ. Matasano vô tình đăng chi tiết của lỗ hổng trên trang web của mình. Matasano nhanh chóng xóa bài và xin lỗi vì sai lầm của nó, nhưng đã quá muộn. Thông tin chi tiết về lỗi này sẽ sớm lan truyền trên Internet.

Mặc dù phần mềm sửa lỗi hiện có sẵn cho hầu hết người dùng phần mềm DNS, có thể mất thời gian để các bản cập nhật này hoạt động thông qua quá trình thử nghiệm và thực sự được cài đặt trên mạng.

"Hầu hết mọi người vẫn chưa vá", Chủ tịch ISC Paul Vixie nói trong một cuộc phỏng vấn qua email hồi đầu tuần này. "Đó là một vấn đề khổng lồ cho thế giới".

Đoạn mã của Metasploit trông rất "thật" và sử dụng các kỹ thuật chưa được ghi chép trước đó cho biết Amit Klein, giám đốc công nghệ của Trusteer

. Nó có thể được sử dụng trong các cuộc tấn công, ông tiên đoán. "Bây giờ việc khai thác được thực hiện ở đó, kết hợp với thực tế là không phải tất cả các máy chủ DNS đều được nâng cấp … những kẻ tấn công có thể đầu độc bộ nhớ cache của một số ISP", ông viết trong một cuộc phỏng vấn qua e-mail. "Vấn đề là - chúng ta có thể không bao giờ biết về những cuộc tấn công như vậy, nếu những kẻ tấn công … làm việc cẩn thận và che dấu vết của chúng một cách chính xác."