Hackers vallen DNS-servers aan via nieuwe exploit
Ongepatchte DNS-servers worden op dit moment aangevallen via exploits die zelfs de maker van de eerste DNS-exploit niet kent. "We zien een geheel nieuwe techniek," aldus HD Moore, de ontwikkelaar van Metasploit. Het zou gaan om exploits die nog niet publiekelijk bekend zijn. Moore ontdekte de eerder besproken aanval toen zijn collega's werden doorgestuurd naar een nepversie van Google.
Volgens Moore verschilt de exploit van de Metasploit aanval of andere bekende technieken. "Het had niet de signature van een publieke exploit. De Metasploit code zal bijvoorbeeld een niet gecached 'A' record toevoegen of alle 'NS' records vervangen met die van de kwaadaardige server. In dit geval verving de aanvaller het adres van de CNAME voor www.1.google.com, iets wat ik nog niet eerder heb gezien."
75% servers ongepatcht
De onderzoeker is nieuwsgierig waar de exploit vandaan komt, aangezien die niet op zijn code gebaseerd is. Dat alle aandacht voor het ernstige DNS-lek nog niet het gewenste effect heeft blijkt wel uit het aantal gepatchte servers. Moore zou cijfers hebben gezien waaruit blijkt dat zo'n 75% van de DNS-servers lek is. Van alle DNS-servers die geen Windows draaien is zelfs 90% ongepatcht. Het hogere percentage zou worden veroorzaakt doordat distributies zoals BIND in tegenstelling tot Windows niet over een automatische update functie beschikken.
Gisteren kwam de Stichting Internet Domeinregistratie Nederland (SIDN) met een waarschuwing voor het DNS-lek. Ongeveer een derde van de nameservers in Nederland wacht nog altijd op een patch. SIDN werkt inmiddels samen met GOVCERT om te bepalen of er nog overheidsinstanties of andere belangrijke instanties met een publieke of vitale taak zijn die risico lopen.
moet zijn bij de eind gebruiker om een pc over te nemen. De tijden van lsass
en dcom lekken waren beter. Dat was aan de lopende band shell krijgen :)
zo'n 75% van de DNS-servers lek is. Van alle DNS-servers die
geen Windows draaien is zelfs 90% ongepatcht. Het hogere
percentage zou worden veroorzaakt doordat distributies zoals
BIND in tegenstelling tot Windows niet over een automatische
update functie beschikken.
in hebt malware op jouw pc.
Dacht het niet hoor.
1. jij komt via een 'vergiftigde' DNS server terecht op een
server die bijvoorbeeld lijkt op de site van jouw bank.
En SSL bestaat niet meer?
uit welk os je computer draait. De scenarios welke
Clarence322 beschrijfd, zijn een risico voor elke computer
met een internet verbinding. Dus Apple en Linux gebruikers
zijn ook de klos. De zeepbel doorgeprikt!
zichzelf niet checkt.
Of je stuurt een e-mailtje dat door de onderschepper vrolijk
gearchiveerd en vervolgens naar de echte ontvanger wordt
gestuurd.
Of...
humor en niet als een start van een flamewar aub. ;)
Van alle DNS-servers die geen Windows draaien is zelfs 90%
ongepatcht.
Dus van de DNS-servers die wel Windows draaien is 100%
ongepatched?
ps. Het is "patched", niet "patcht", dat ziet er meer Russisch uit eigenlijk...
Learn English, please.
1. jij komt via een 'vergiftigde' DNS server terecht op een
server die bijvoorbeeld lijkt op de site van jouw bank.
2. je logt nietsvermoedend in op die site. Hiermee geef je
al meteen je inlognaam en je password 'door' aan de hacker,
zodat die meteen met jouw bankgegevens kan 'knutselen'
Ok, je komt via zo'n DNS binnen op een site waarvan je denkt
dat hij van je bank is. Ik neem even als voorbeeld de ING bank.
Je moet de code op je scherm intikken in je
bankgevalapparaat en dan krijg je een return code.
Ik praat even niet over je loginnaam, want die hebben ze dan.
Op die nepsite staat dus een code, en jij geeft de returncode.
Als je naar de echte site gaat krijg je een kompleet andere
code waar je een returncode op moet geven. Hoe kunnen ze dan
bij jouw gegevens?
Die returncode is gebaseert op een getal die je in het
apparaat van de bank in moet voeren, en dat getal weten ze
niet, ook niet als ze 1 of meer matches hebben. Misschien is
het algoritme eruit te halen als je een paar honderd
(misschien wel duizend?) code/return code matches hebt, maar
dan nog duurt het gigantisch lang voor je resultaat krijgt.
Het is toch veel makkelijker om vage spammail te sturen met
domme onzin ,waar nog steeds mensen in trappen, als je snel
geld wil verdienen?
Ik ken de systemen bij de andere banken niet, maar ik zie
even de fout hier niet...
Als je naar de echte site gaat krijg je een kompleet andere
code waar je een returncode op moet geven. Hoe kunnen ze dan
bij jouw gegevens?
De truuc hierbij is dat die valse site op de achtergrond,
met jouw gegevens, een verbinding maakt met de echt site van
je bank. Codes gaan heen en weer zodat die combinatie klopt.
Peter
Sorry, ik kon het niet laten, maar beschouw dit even als
humor en niet als een start van een flamewar aub. ;)
Van alle DNS-servers die geen Windows draaien is zelfs 90%
ongepatcht.
Dus van de DNS-servers die wel Windows draaien is 100%
ongepatched?
ps. Het is "patched", niet "patcht", dat
ziet er meer Russisch uit eigenlijk...
Learn English, please.
Volgens mij heb jij het artikel niet helemaal goed gelezen;
er staat dat 75% van de servers ongepatcht is. Wanneer je de
Windows-systemen buiten beschouwing laat, is het 90%. Dat
betekent dus dat het voornamelijk Windows-systemen zijn die
het relatieve aantal ongepatchte systemen omlaag haalt (75%
< 90%). Oftewel, er zijn meer Windows-systemen gepatcht.
En 'gepatcht' is gewoon een goede Nederlandse vervoeging van
patchen. Leer Nederlands
Er is meer voor nodig om een rekening leeg te halen. Daar hebben de
verschillende banken wel zorg voor gedragen. Voor zover ik weet werken alle
banken met systemen die een bevestiging vereisen die gebaseerd is op de
transacties die je uitvoert.
Niks Blut.
Maar gevaarlijk is het wel als je PC gehackt en overgenomen wordt.
Daar deze fout op de dns-servers zit, maakt het niet meer
uit welk os je computer draait. De scenarios welke
Clarence322 beschrijfd, zijn een risico voor elke computer
met een internet verbinding. Dus Apple en Linux gebruikers
zijn ook de klos. De zeepbel doorgeprikt!
niet veilig is omdat een andere schakel niet in orde is?
Ok, je komt via zo'n DNS binnen op een site waarvan je denkt dat hij van je bank is. Ik neem even als voorbeeld de ING bank. Je moet de code op je scherm intikken in je bankgevalapparaat en dan krijg je een return code. Ik praat even niet over je loginnaam, want die hebben ze dan. Op die nepsite staat dus een code, en jij geeft de returncode.
Als je naar de echte site gaat krijg je een kompleet andere code waar je een returncode op moet geven. Hoe kunnen ze dan bij jouw gegevens?
Stel je opent https://mijn.ingbank.nl/secure/eoe/eoe_index.jsp, krijgt via DNS een gespoofed IP-adres waarna je browser verbinding maakt met een nepsite van een attacker. Als eerste zal er een onjuist certificaat opgehaald en getoond worden dat er ongeveer [url=http://www.benedelman.org/spyware/images/installers-020305.html]zo[/url] uit zou kunnen zien.
Voor de gebruikers die Yes of Ja clicken opent de nepsite die natuurlijk sterk lijkt op de ING inlogpagina, alleen in plaats van
Op het moment dat de nepsite in jouw browser geladen wordt, zal die nepsite zelf een verbinding maken met de echte ING site. Alles wat jij invoert, en alle codes die de echte bank naar jou denkt te sturen, worden via de nepsite uitgewisseld. Op de financiële transacties na natuurlijk, waarbij ik uitsluit dat er geld bijgeboekt gaat worden op jouw rekening...
je hebt volgens mij gelijk Axnozem.
Er is meer voor nodig om een rekening leeg te halen. Daar hebben de verschillende banken wel zorg voor gedragen. Voor zover ik weet werken alle banken met systemen die een bevestiging vereisen die gebaseerd is op de transacties die je uitvoert.
Niks Blut.
Maar gevaarlijk is het wel als je PC gehackt en overgenomen wordt.
DNS was al geen betrouwbaar protocol, maar werkte in de praktijk best goed; beide zijn nu nu een stuk minder. Het enige middel waardoor je met redelijke zekerheid weet dat je PC met de juiste server communiceert is het certificaat (*).
(*) D.w.z. mits de daarbij horende private key uitsluitend bekend is binnen de organisatie waar die server toe behoort, en niet t.g.v. zoiets als de recente OpenSSL ramp door iedereen is te reproduceren met gegevens uit het (publieke) certificaat.
een trojan - moet het makkelijk voor degene zijn om op deze
pc rootcertificaten te installeren waardoor een zelfgemaakt
certificaat http://www.postbank.nl - of in die trant - gewoon wordt
geaccepteerd als veilig. Wie weet, hebben ze - de
cybercriminelen - al stilletjes op miljoenen systemen zulke
rootcertificaten geplaatst. Terug naar contant geld, dan heb
je nog de mogelijkheid om de dief een ontzettende doodstrap
te geven.
in hebt malware op jouw pc.
Dacht het niet hoor.
Rogue dns > sslstrip > mpack > pwned... en dat alles zonder dat je het ooit in de gaten heb gehad. Man in the Middle attacks ftw
Tevens is het mogelijk om ssl te kraken. ik verwijs u naar een presentatie op Black Hat DC 2009 door Moxie Marlinspike.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
