DNS Cache Poisoning: Erste Angriffe mit neuartigem Exploit

**gullinews** · 31. 07. 2008, 07:44

Die ersten Angriffe auf zahlreiche DNS-Server (Domain Name System) wurden vor mehr als einer Woche öffentlich. Einer Studie zufolge wird dabei am häufigsten das
Exploit aus dem Metasploit Framework verwendet. HD Moore, Chefentwickler von Metasploit, hat nun eine gänzliche neue Variante des DNS-Exploits ausfindig machen können. Paradoxerweise wurde Moores Unternehmen kürzlich selbst zum Opfer eines modifizierten DNS-Eintrags, der für die Weiterleitung auf eine getürkte Google-Webseite verantwortlich war. Allerdings geht dieser Vorfall auf einen mit gefälschten Informationen versorgten Server beim Telekommunikationskonzern AT&T zurück. Ein weitreichender Schlag für den Angreifer, schließlich versorgt der Server weiträumig das Gebiet um Texas.

Aus einer umfassenden Partnerarbeit zwischen HD Moore und dem im Internet bekannten "I)ruid" ging die Metasploit-Variante des Exploits hervor. Viele Unternehmen haben seitdem mehrere Angriffe auf die "Cache-Poisoning-Schwachstelle" verzeichnen müssen. Nun scheint die Zeit für ein weiteres, bislang "in the wild" nicht gesehenes DNS Exploit reif zu sein.

weiterlesen

**Kontrolltroll** · 31. 07. 2008, 09:57

"kein geringerer als Moore selbst" *lol* made my day.

Da gibts seit ner Woche ne Debatte zu: müssen die Metaspoit Kinder überhaupt so was in die Hand bekommen.
Ich bin ja für old-skool disclosure: http://milw0rm.com/exploits/6123

Einfach in Python, Variablen selber deklarieren, ipv4 versteht sich... und wer kein Scapy hat, hat Pech

. Damit fallen (wegen der Windos Module) 90% aller Kiddies weg. Das empfinde ich als ethische Offenlegung. Und nicht so was wie in Metasploit:

load module foo; target=x.y.z.a; payload=1; start

Keine Ahnung ob ich langsam alt werde

**limlug** · 31. 07. 2008, 10:37

Das widerspricht allerdings einem existeziellen Grundgedanken: "Informationen sind frei". Wenn man so weiter denkt gibt es dann demnächst nur noch aktuelle Exploits in spezieelen Onlineshops zu kaufen?

**SubData** · 31. 07. 2008, 11:57

Die Informationen sollen auch frei bleiben, nur sollte man die Kinder ein wenig daran hindern, diese auch sofort nutzen zu können.

Veröffentliche nen uncompilierten C oder Assembler Code und du bist mindestens 50% der Kinder los, weil sie noch nichtmal wissen, was ein Compiler ist...

**Frazze** · 31. 07. 2008, 12:57

"uncompilierten C oder Assembler Code" rofl .... dumm ausgedrückt

aber ich weiß was du meisnt :P

**cOlz.de** · 31. 07. 2008, 14:11

war es denn nicht auch kein geringerer als moore selbst, der diese poisoning exploits entdeckt hat und diese informationen jedem zugänglich gemacht hat?! zumindest habe ich es so in erinnerung

**gS-** · 31. 07. 2008, 17:41

Zitat von cOlz.de

war es denn nicht auch kein geringerer als moore selbst, der diese poisoning exploits entdeckt hat und diese informationen jedem zugänglich gemacht hat?! zumindest habe ich es so in erinnerung

cOlz.de du hast es erfasst ! Kein geringerer als Moore selbst und sein hax0r-Kollege I)ruid waren es, die an der Ausarbeitung führend waren ! Interessant hierbei, dass das Exploit, welches bei AT&T genutzt wurde, offenbar ein völlig anderes ist. Erkennbar an den Einträgen, die verändert worden sind. Dieses Thema bleibt sicherlich noch ein Weilchen in den News, denn viele Firmen wollen offensichtlich nicht patchen....