KeyTrap: Wie man einen DNS-Server mit einem einzigen Paket knacken kann

Der KeyTrap DoS-Angriff kann DNS-Server mit einem einzigen bösartigen Paket lahmlegen, das eine Schwachstelle in DNSSEC ausnutzt.

Eine Gruppe von Experten mehrerer deutscher Universitäten und Institute hat eine Schwachstelle in DNSSEC entdeckt. DNSSEC umfasst eine Reihe von Erweiterungen des DNS-Protokolls, die dessen Sicherheit verbessern und vor allem DNS-Spoofing verhindern sollen.

Ein Angriff, den sie KeyTrap nennen und der diese Sicherheitslücke ausnutzt, kann einen DNS-Server außer Gefecht setzen, indem er ihm ein einziges bösartiges Datenpaket schickt. Lesen Sie weiter, um mehr über diesen Angriff zu erfahren.

 

So funktioniert KeyTrap und deshalb kann es gefährlich werden

Die DNSSEC-Sicherheitslücke ist erst kürzlich an die Öffentlichkeit gelangt, wurde aber bereits im Dezember 2023 entdeckt und als CVE-2023-50387 registriert. Sie wurde mit einem CVSS 3.1 Score von 7,5 und einem Schweregrad von „High“ eingestuft. Vollständige Informationen über die Sicherheitslücke und den damit verbundenen Angriff sind noch nicht veröffentlicht worden.

Und so funktioniert KeyTrap. Der böswillige Akteur richtet einen DNS-Server ein, der auf Anfragen von Caching-DNS-Servern, d.h. solchen, die Client-Anfragen direkt bedienen, mit einem bösartigen Paket antwortet. Als nächstes veranlasst der Angreifer einen Caching-Server, einen DNS-Eintrag von seinem bösartigen Server anzufordern. Der als Antwort gesendete Datensatz ist ein kryptografisch signierter bösartiger Datensatz. Die Art und Weise, wie die Signatur erstellt wird, führt dazu, dass der angegriffene DNS-Server, der versucht, sie zu verifizieren, für einen langen Zeitraum mit voller CPU-Kapazität arbeiten muss.

Den Experten zufolge kann ein einziges solches bösartiges Paket den DNS-Server für 170 Sekunden bis zu 16 Stunden lahmlegen, je nach der Software, auf der er läuft. Der KeyTrap-Angriff kann nicht nur allen Clients, die den angegriffenen DNS-Server nutzen, den Zugang zu Webinhalten verwehren, sondern auch verschiedene Infrastrukturdienste wie Spamschutz, digitale Zertifikatsverwaltung (PKI) und sicheres Cross-Domain-Routing (RPKI) stören.

Für die Experten ist KeyTrap „der schlimmste Angriff auf DNS, der je entdeckt wurde“. Interessanterweise wurden die Schwachstellen in der Logik der Signaturvalidierung, die KeyTrap möglich machen, bereits in einer der frühesten Versionen der DNSSEC-Spezifikation entdeckt, die bereits 1999 veröffentlicht wurde. Mit anderen Worten, das Sicherheitsrisiko wird demnächst 25 Jahre alt.

CVE-2023-50387 ist in der DNSSEC-Spezifikation seit 1999 bekannt.

 

So wehren Sie KeyTrap ab

Die Experten haben alle Entwickler von DNS-Server-Software und die wichtigsten öffentlichen DNS-Anbieter alarmiert. Updates und Sicherheitshinweise zur Behebung von CVE-2023-50387 sind jetzt für PowerDNS, NLnet Labs Unbound und Internet Systems Consortium BIND9 verfügbar. Wenn Sie ein Administrator eines DNS-Servers sind, ist es höchste Zeit, die Updates zu installieren.

Bedenken Sie jedoch, dass die DNSSEC-Logikprobleme, die KeyTrap möglich gemacht haben, grundsätzlicher Natur sind und nicht einfach behoben werden können. Patches, die von den Entwicklern von DNS-Software veröffentlicht werden, können das Problem nur zum Teil lösen, da die Schwachstelle Teil des Standards und nicht der spezifischen Implementierungen ist. „Wenn wir [KeyTrap] gegen einen gepatchten Resolver einsetzen, haben wir immer noch eine 100-prozentige CPU-Auslastung, aber das System kann immer noch reagieren“, sagt einer der Experten.

Eine praktische Ausnutzung der Schwachstelle ist nach wie vor möglich, was zu unvorhersehbaren Ausfällen der Resolver führen kann. Für diesen Fall sollten Netzwerkadministratoren in Unternehmen im Voraus eine Liste von Backup-DNS-Servern vorbereiten, damit sie bei Bedarf wechseln können, um das Netzwerk normal funktionieren zu lassen und den Benutzern das ungehinderte Surfen in den von ihnen benötigten Webressourcen zu ermöglichen.

 

Tipps