Een kwetsbaarheid die het internet had kunnen ontregelen en vele miljoenen mensen in gevaar zou hebben gebracht is op tijd door Microsoft, Sun en Cisco gepatcht. Het lek in het Domain Name System (DNS) zou volgende maand tijdens de Black Hat conferentie worden onthuld en zorgt ervoor dat een aanvaller iemand z'n websessie kan kapen en het slachtoffer naar een kwaadaardige server kan doorsturen om zo malware te verspreiden of vertrouwelijke informatie te stelen.

Om dit te doen moeten aanvallers de DNS server van een website "vergiftigen" en bezoekers een ander IP-adres geven. Dit kan men doen door een e-mail naar een niet bestaande gebruiker te sturen of een e-mail met een extern gehoste afbeelding te mailen. De aan te vallen DNS zal dan een query naar de DNS server van de aanvaller sturen. In het DNS antwoord stuurt de aanvaller extra gegevens mee die de DNS cache van het slachtoffer vervuilen. Om de prestaties van DNS servers te verbeteren slaan die de terug te sturen data op, zodat ze sneller op aanvragen kunnen reageren. Als de DNS cache is vergiftigd, geldt dit voor alle nieuwe aanvragen die de DNS server van het domein in kwestie te verwerken krijgt.

De data die de aanvallers meesturen kan bijvoorbeeld een kwaadaardige URL zijn, maar als de DNS server niet goed is geconfigureerd kan zelfs het legitieme IP-adres door een kwaadaardige worden vervangen.

D-Day

Vanwege de ernst van de kwetsbaarheid, die trouwens ook al een keer in 2005 was ontdekt, en het feit dat die in bijna alle DNS distributies aanwezig is, hebben betrokken vendors samengewerkt en op dezelfde dag een patch uitgebracht, zonder dat de pers hier hoogte van had. De coördinatie bij het ontwikkelen van de update is van ongekende omvang, aldus Dan Kaminsky, de onderzoeker die het lek per ongeluk ontdekte. In dit interview laat hij weten dat dit nooit eerder is gebeurd. Op zijn website heeft Kaminsky een tool beschikbaar gemaakt die controleert of de gebruikte DNS software lek is.

Doordat de update nu is uitgebracht, gaan alle betrokkenen ervan uit dat kwaadaardige hackers binnen een aantal weken een exploit gereed zullen hebben. Bedrijven wordt dan ook opgeroepen om actie te ondernemen.

Volgens het Internet Storm Center is het een lapmiddel. "Uiteindelijk moeten we het DNS uit elkaar halen en opbouwen. DNSSEC is een uitbreiding van het DNS en vraagt om cryptografische authenticatie. Het vereist een PKI infrastructuur die op dit moment nog niet bestaat."

Update: Verwijzing ISC verwijderd