Misbruik ernstig DNS-lek kinderspel door exploits
Zoals gisteren al voorspeld is er exploitcode voor het ernstige DNS-lek aan een eenvoudig te gebruiken hackertoolkit toegevoegd. Via de aanvalscode is het mogelijk om binnen twee minuten kwaadaardige DNS-records in de cache van een kwetsbare nameserver te injecteren. Er is inmiddels ook een DNS-service opgezet om te assisteren bij het uitvoeren van de exploit.
De exploit cached een enkele kwaadaardige entry in de kwetsbare nameserver. Door die nameserver willekeurige hostnames van het aan te vallen domein te laten opvragen, kan een aanvaller het antwoord hierop spoofen en voorzien van extra informatie, zoals het authority server record en extra records, die dan aan de cache worden toegevoegd.
Inmiddels is er ook een tweede exploit verschenen die de nameserver entries van het aan te vallen domein vervangt in een kwetsbare DNS nameserver. Deze aanval werkt door het sturen van willekeurige hostname queries naar de aan te vallen DNS-server, gecombineerd met gespoofte antwoorden op die queries van de authoritative nameserver van dat domein. Uiteindelijk zal een gegist ID overeenkomen, en zal de server het gespoofte pakket accepteren en de entries voor het aan te vallen domein in de nameserver wijzigen via de NEWDNS optie die de exploit toepast.
De tweede exploit is veel gevaarlijker, omdat die een aanvaller toegang over een compleet domein geeft, terwijl de eerste exploit alleen een enkele hostname laat aanvallen. Met de eerste exploit krijgt een aanvaller toegang tot www.domein.nl, via de tweede optie kan hij het complete domein.nl kapen. Inmiddels zijn onderzoekers druk bezig om de exploits te perfectioneren, zodat de aanval straks in een paar seconden is uit te voeren, iets dat volgens Dan Kaminsky, de ontdekker van de kwetsbaarheid, mogelijk is. En dat zou de situatie nog erger maken, want de onderzoeker laat weten dat slechts 30% tot 40% van de nameservers gepatcht is. Voor systeembeheerders die niet kunnen patchen biedt IPtables uitkomst.
McAfee legt op haar blog de kwetsbaarheid uit, inclusief verschillende afbeeldingen om het geheel te verduidelijken.
;-) Het moet natuurlijk wel leuk blijven he.
Framework" (te downloaden via bovenstaande link) een trojan
bevat, dus veel succes met testen....
Persoonlijk vind ik, dat zo'n link niet moet kunnen op een
security site.
hacktooltje wel aan als trojan.
Metasploit is een framewerk voor penetratie testers. Lijkt me logisch dat daar code tussen zit die als "gevaarlijk" bestempeld wordt. Da's nu eenmaal de aard van het beestje.
"Metasploit Framework" (te downloaden via
bovenstaande link) een trojan bevat, dus veel succes met
testen....
Juist, een norton gebruiker zeker die niet weet wat
metasploit is en inhoudt.
Je moet niet zo op die virusscanners vertrouwen. Die geven
voortaan elk
hacktooltje wel aan als trojan.
Jij bent zeker niet zo bekend met metasploit. Dit is
namelijk een open source penetration testing toolkit.
Oftewel, je kan zelf door de code heen om te controleren of
er daadwerkelijk een trojan in zit. Maar zo als vorige
commenters al aangeven is het logisch dat er code voor
trojans en exploits in het framework zitten.
Tevens is het ook waar wat de andere anonieme commenter
aangeeft. Het vertrouwen op een virusscanner is lang niet
alles. Probeer maar eens netcat door de scanners heen te
krijgen. De ultieme test tool, maar er zijn allerlei
scanners die deze als hacktool bestempelen. Tja een ssh
client kan ook als hacktool dienen.
kwetsbaar zijn voor deze exploits.
Zij het dat de uitwerking op een DNS server cache een groter effect gaat
hebben.
Als je graag wil weten of jouw DNS server kwetsbaar is, kan je dat op
[url=http://www.doxpara.com/]de site van Dan Kaminsky[/url] testten.
Het dient opgemerkt te worden dat, zowel de DNS client als de server, beide
kwetsbaar zijn voor deze exploits.
Zij het dat de uitwerking op een DNS server cache een groter effect gaat
hebben.
Als je graag wil weten of jouw DNS server kwetsbaar is, kan je dat op
[url=http://www.doxpara.com/]de site van Dan Kaminsky[/url] testen.
Kijk, dat is nou nog eens een nuttige bijdrage! Bedankt! (En ja, ik blijk aan de
veilige internetkant van de wereld te zitten. Voor dit moment althans.)
Het randomizen van de source port voegt hoogstens 16 bits extra toe (het is
zelfs nog minder gezien de random udp ports hoogst waarschijnlijk vanaf
1024 worden afgegeven) In princiepe moet een attacker dan een 32 bit int
bruteforcen; gezien de aard van de attack (de attacker kan de packets blijven
sturen) is het dan mogelijk om een dns poison attack uit te voeren door
ongeveer 4 gb naar de desbetreffende nameserver te sturen. Ipv van dat de
attack dan binnen 10 seconden kan is het hoogstens een paar dagen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
