Oppdager ikke nye nettleserangrep

Oppdager ikke nye nettleserangrep

DNS-rebinding installerer ingenting og etterlater ingen spor.

En ny type nettleserangrep som kan eksponere hele bedriftsnettverk ligger på White Hat Securitys toppliste over de potensielt mest effektive nye angrepsformene på nettet akkurat nå.

Verstingen kalles DNS-rebinding, som gjør ofrenes nettleser om til proxy-servere som gjør det angriperne ønsker, ifølge White Hat Securitys teknologisjef Jeremiah Grossman.

Konsekvensen av angrepsformen er at nettlesere kan lures til å søke seg til interne servere og så sende bedriftsintern informasjon til utsiden. Nettleseren gjør ikke noe den egentlig ikke vanligvis gjør under dette angrepet, og det er ingen klussing med DNS-servere involvert, ifølge Grossman.

- Det er stort sett umulig å se. Det etterlater ingen spor, sier han til Computerworlds internasjonale nyhetstjeneste.

Legitim proxy

Angrepet fungerer ved at skurken setter opp en nettside og en DNS-server. Når et offer besøker siden, spør nettleseren DNS-serveren hva som er ip-en. Det får den tilbake, men med veldig kort utløpstid. Når offeret går inn på siden, lastes et ondsinnet javascript-program inn i nettleseren til offeret.

Dernest sender det ondsinnede scriptet en ny forespørsel til angrepssiden, men på grunn av kort utløpstid på forrige DNS-forespørsel, svarer DNS-oppslaget denne gangen med en ip-adresse som typisk brukes i interne nettverk. Til slutt kobler nettleseren til en server i offerets interne nettverk, og dermed har ondsinnet server potensielt kontakt med bedriftsserveren hos offeret.

Nettlesere følger prinsipper om samme opphav, som lar maskiner med like vertsnavn kobles opp. I dette angrepet har nettleseren blitt fortalt at opphavet til de to serverne, både den interne maskinen og angriperens server på utsiden, er det samme, så trafikk mellom disse to er tillatt.

Se en videodemontrasjon her.

Forskere lurte 100.000

Grossman viser til forskere ved Stanford University som brukte 100 dollar med reklamepenger for å lokke brukere til sin server som var satt opp til å utføre slike DNS-rebindingsangrep. Effekten var at de nådde 100.000 maskiner.

Siden angrepet utføres via Javacript blir det ikke kjørt oppdagbare ondsinnede programmer på offerets maskin. Og DNS-servere røres heller altså ikke.

- DNS-rebinding er fryktelig kjipt, sier Grossman.

Stanford har for øvrig lagt ut en PDF om hvordan du kan beskytte bedriften mot slike angrep.