DNS-Hijacker treffen Network-Solutions-Kunden
Diverse Webseiten, die Network-Solutions-Dienste verwenden, wurden kürzlich Opfer von DNS-Hijacking-Attacken. Die Antivirus-Firmen Avira und AVG sowie das Chat-Programm Whatsapp waren nach Meldungen auch Opfer umgeleiteter Attacken. Leaseweb, ein Hosting-Unternehmen, wurde ebenfalls Opfer solcher Attacken.
Es wird spekuliert, ob die Gefährdung aufgrund einer internen Sicherheitslücke möglich geworden ist. Die betroffenen Firmen berichten, dass sie die Kontrolle über ihre Domain-Name-System (DNS) Server verloren hätten. Die genannten Server werden verwendet, um den Datenverkehr zu leiten. Durch den Kontrollverlust war es den Hackern möglich, E-Mail- und Web-Verkehr an bösartige Server weiterzuleiten. Sie leiteten die Besucher auf einen Server um, der pro-palästinensische Propaganda zeigte.
Es wird vermutet, dass das Vorgehen viel ernster sein könnte als gedacht, da es die Server beeinflusst, die E-Mails empfangen und sich mit Software-Kunden verbinden. Sobald ein Angreifer Kontrolle über die NS-Datensätze hat, kann er auch die MX (Mail Exchange) Datensätze ändern und E-Mails umleiten. Oder, wie im Falle eines Antivirus-Sicherheitsunternehmens wie Avira, können Adressen verändert werden, die zum Herunterladen von Signatur-Updates benutzt werden.
Viele der Anwendungen verlassen sich auf kryptografische Signaturen, die sicherstellen, dass ein Server Gültigkeit besitzt, bevor er Updates akzeptiert. Daher lief der Avira- oder AVG-Angriff eventuell ins Leere. Es besteht aber dennoch immer die Gefahr, dass die Hacker einen Server übernehmen und End-Anwender gefährden.
Artikel von arstechnica.com, 08.10.2013: Hijacking of AV firms’ websites may be linked to hack on Network Solutions
Artikel von computerworlduk.com, 09.10.2013: Network Solutions investigating DNS hijack