Ihre DNS-Server sind nicht sicher

Entgegen den Angaben im Ratschlag von ISS wussten verschiedene „Untergrund“-Gruppen über diese Sicherheitslücke bereits im August Bescheid, wenn nicht sogar schon früher. Das ist jedenfalls der Zeitpunkt, zu dem ich davon gehört habe und bereits die ersten Fälle diskutiert wurden, wo diese Lücke ausgenutzt worden war.

Die Aufregung über diese Sicherheitslücke ist verständlich, wenn man bedenkt, was man alles an üblen Streichen mit einem gehackten DNS-Server anstellen kann – z.B. unsichtbare Man-in-the-middle-Angriffe, die Computerbenutzer so umleiten, dass sie unwissentlich Websites attackieren (was besonders schwerwiegende Auswirkungen haben kann, wenn es sich dabei um so stark frequentierte Sites wie hotmail.com handelt). Außerdem können Proxies zur Modifikation unschuldiger Websites eingesetzt werden, so dass diese Ihren Browser oder das E-Mail-Programm angreifen. Ja, sie könnten sogar verschlüsselte Verbindungen abfangen und belauschen.

Dieses ernste Sicherheitslücke erfordert umgehendes Handeln – ohne verlässliche DNS gibt es keine Sicherheit. Dies betrifft alle Betriebssysteme und ist besonders für große Unternehmen problematisch, die eine umfangreiche Infrastruktur mit vielen Servern aktualisieren, überprüfen und in Ordnung halten müssen.

DNS läuft vornehmlich auf drei Arten von Software – alle geschrieben vom Internet Software Consortium (ISC). Damit betrifft diese aktuelle Sicherheitslücke die Mehrzahl der weltweiten Server, auf denen BIND4 oder das aktuellere BIND8 (8.3.3) läuft. Der einzige Lichtblick dabei ist, dass BIND9 diesmal verschont geblieben ist, aber schon im Juni waren dessen eigene Sicherheitslücken in Bezug auf Fernzugriffe in den Schlagzeilen. Das sind eine Menge schlechter Nachrichten vom ISC über DNS innerhalb so kurzer Zeit.

Seit die Lücken in BIND9 bekannt wurden und es erste Gerüchte über diejenigen in BIND4 und 8 gab, hatten Hacker mehrere Monate Zeit, Ihre verletzbaren unternehmenskritischen Systeme zu infiltrieren und sie zu Angriffen auf andere Systeme zu missbrauchen. Je größer Ihr Unternehmen ist, desto stärker sind Sie von den jüngsten Programmier-Fehlern des ISC betroffen. Außer wegen des mangelhaften Programmcodes ist das ISC unter Beschuss geraten, weil es anfänglich seine Software-Patches nur per E-Mail an zahlende Kunden verschickte, anstatt sie öffentlich ins Internet zu stellen, bis ISS die Sicherheitslücke publik machte.