{"id":30902,"date":"2024-02-22T17:12:36","date_gmt":"2024-02-22T15:12:36","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30902"},"modified":"2024-02-22T17:13:26","modified_gmt":"2024-02-22T15:13:26","slug":"keytrap-dnssec-vulnerability-dos-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/keytrap-dnssec-vulnerability-dos-attack\/30902\/","title":{"rendered":"KeyTrap: Wie man einen DNS-Server mit einem einzigen Paket knacken kann"},"content":{"rendered":"

Eine Gruppe von Experten mehrerer deutscher Universit\u00e4ten und Institute hat eine Schwachstelle in DNSSEC entdeckt<\/a>. DNSSEC umfasst eine Reihe von Erweiterungen des DNS-Protokolls, die dessen Sicherheit verbessern und vor allem DNS-Spoofing verhindern sollen.<\/p>\n

Ein Angriff, den sie KeyTrap nennen und der diese Sicherheitsl\u00fccke ausnutzt, kann einen DNS-Server au\u00dfer Gefecht setzen, indem er ihm ein einziges b\u00f6sartiges Datenpaket schickt. Lesen Sie weiter, um mehr \u00fcber diesen Angriff zu erfahren.<\/p>\n

\u00a0<\/p>\n

So funktioniert KeyTrap und deshalb kann es gef\u00e4hrlich werden<\/h3>\n

Die DNSSEC-Sicherheitsl\u00fccke ist erst k\u00fcrzlich an die \u00d6ffentlichkeit gelangt, wurde aber bereits im Dezember 2023 entdeckt und als CVE-2023-50387<\/a> registriert. Sie wurde mit einem CVSS 3.1 Score von 7,5 und einem Schweregrad von \u201eHigh\u201c eingestuft. Vollst\u00e4ndige Informationen \u00fcber die Sicherheitsl\u00fccke und den damit verbundenen Angriff sind noch nicht ver\u00f6ffentlicht worden.<\/p>\n

Und so funktioniert KeyTrap. Der b\u00f6swillige Akteur richtet einen DNS-Server ein, der auf Anfragen von Caching-DNS-Servern, d.h. solchen, die Client-Anfragen direkt bedienen, mit einem b\u00f6sartigen Paket antwortet. Als n\u00e4chstes veranlasst der Angreifer einen Caching-Server<\/a>, einen DNS-Eintrag von seinem b\u00f6sartigen Server anzufordern. Der als Antwort gesendete Datensatz ist ein kryptografisch signierter b\u00f6sartiger Datensatz. Die Art und Weise, wie die Signatur erstellt wird, f\u00fchrt dazu, dass der angegriffene DNS-Server, der versucht, sie zu verifizieren, f\u00fcr einen langen Zeitraum mit voller CPU-Kapazit\u00e4t arbeiten muss.<\/p>\n

Den Experten zufolge kann ein einziges solches b\u00f6sartiges Paket den DNS-Server f\u00fcr 170 Sekunden bis zu 16 Stunden lahmlegen, je nach der Software, auf der er l\u00e4uft. Der KeyTrap-Angriff kann nicht nur allen Clients, die den angegriffenen DNS-Server nutzen, den Zugang zu Webinhalten verwehren, sondern auch verschiedene Infrastrukturdienste wie Spamschutz, digitale Zertifikatsverwaltung (PKI) und sicheres Cross-Domain-Routing (RPKI) st\u00f6ren.<\/p>\n

F\u00fcr die Experten ist KeyTrap \u201eder schlimmste Angriff auf DNS, der je entdeckt wurde\u201c. Interessanterweise wurden die Schwachstellen in der Logik der Signaturvalidierung, die KeyTrap m\u00f6glich machen, bereits in einer der fr\u00fchesten<\/a> Versionen der DNSSEC-Spezifikation entdeckt, die bereits 1999 ver\u00f6ffentlicht wurde. Mit anderen Worten, das Sicherheitsrisiko wird demn\u00e4chst 25 Jahre alt.<\/p>\n

\"\"<\/a>

CVE-2023-50387 ist in der DNSSEC-Spezifikation seit 1999 bekannt.<\/p><\/div>\n

\u00a0<\/p>\n

So wehren Sie KeyTrap ab<\/strong><\/h3>\n

Die Experten haben alle Entwickler von DNS-Server-Software und die wichtigsten \u00f6ffentlichen DNS-Anbieter alarmiert. Updates und Sicherheitshinweise zur Behebung von CVE-2023-50387 sind jetzt f\u00fcr PowerDNS<\/a>, NLnet Labs Unbound<\/a> und Internet Systems Consortium BIND9<\/a> verf\u00fcgbar. Wenn Sie ein Administrator eines DNS-Servers sind, ist es h\u00f6chste Zeit, die Updates zu installieren.<\/p>\n

Bedenken Sie jedoch, dass die DNSSEC-Logikprobleme, die KeyTrap m\u00f6glich gemacht haben, grunds\u00e4tzlicher Natur sind und nicht einfach behoben werden k\u00f6nnen. Patches, die von den Entwicklern von DNS-Software ver\u00f6ffentlicht werden, k\u00f6nnen das Problem nur zum Teil l\u00f6sen, da die Schwachstelle Teil des Standards und nicht der spezifischen Implementierungen ist. \u201eWenn wir [KeyTrap] gegen einen gepatchten Resolver einsetzen, haben wir immer noch eine 100-prozentige CPU-Auslastung, aber das System kann immer noch reagieren\u201c, sagt einer der Experten.<\/p>\n

Eine praktische Ausnutzung der Schwachstelle ist nach wie vor m\u00f6glich, was zu unvorhersehbaren Ausf\u00e4llen der Resolver f\u00fchren kann. F\u00fcr diesen Fall sollten Netzwerkadministratoren in Unternehmen im Voraus eine Liste von Backup-DNS-Servern vorbereiten, damit sie bei Bedarf wechseln k\u00f6nnen, um das Netzwerk normal funktionieren zu lassen und den Benutzern das ungehinderte Surfen in den von ihnen ben\u00f6tigten Webressourcen zu erm\u00f6glichen.<\/p>\n

\u00a0<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Der KeyTrap DoS-Angriff kann DNS-Server mit einem einzigen b\u00f6sartigen Paket lahmlegen, das eine Schwachstelle in DNSSEC ausnutzt.<\/p>\n","protected":false},"author":2726,"featured_media":30903,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[274,747,2384,3092,980,2183,1498,1653,812,156],"class_list":{"0":"post-30902","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-bedrohungen","10":"tag-ddos","11":"tag-dns","12":"tag-dos","13":"tag-kryptographie","14":"tag-risiken","15":"tag-schwachstellen","16":"tag-security","17":"tag-unternehmen","18":"tag-verschlusselung"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/keytrap-dnssec-vulnerability-dos-attack\/30902\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27084\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/22394\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/29751\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27260\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27038\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/keytrap-dnssec-vulnerability-dos-attack\/29657\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/keytrap-dnssec-vulnerability-dos-attack\/28536\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/keytrap-dnssec-vulnerability-dos-attack\/36997\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/50594\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/keytrap-dnssec-vulnerability-dos-attack\/21535\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/keytrap-dnssec-vulnerability-dos-attack\/22243\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/keytrap-dnssec-vulnerability-dos-attack\/35818\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/keytrap-dnssec-vulnerability-dos-attack\/27459\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/keytrap-dnssec-vulnerability-dos-attack\/33266\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/keytrap-dnssec-vulnerability-dos-attack\/32890\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstellen\/","name":"Schwachstellen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30902","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30902"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30902\/revisions"}],"predecessor-version":[{"id":30905,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30902\/revisions\/30905"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30903"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30902"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30902"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30902"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}