Schutz für Heimanwender-Router vor möglichen DNS-Rebinding-Angriffen

Originalartikel von Ben April (Advanced Threats Researcher bei Trend Micro)

Auf der Blackhat- und DEFCON-Konferenz letzte Woche, führte der unabhängige Sicherheitsforscher Craig Heffner einen neuen Angriff vor gegen Heimanwender-Router. Die Attacke kombiniert DNS-Rebinding sowie Cross Site Request Forgery (CSRF) und nutzt JavaScript, um die Browser der Nutzer dazu zu bringen, einen Kommunikationskanal zwischen dem Angreifer und der Admin-Konsole des Heim-Routers aufzusetzen. Ist das Router-Kennwort einfach zu erraten (etwa router oder password) oder gar noch auf das Fabriks-Default gesetzt, kann der Angreifer schnell die vollständige Kontrolle über das Gerät erlangen und damit alle Geräte einem Netzwerkangriff aussetzen. Der Kriminelle könnte beispielsweise die DNS-Einstellungen des Routers ändern, sodass jeder, der an diesen Router angeschlossen ist, Phishing-Attacken riskiert.

Als erster muss der Angreifer eine Position einnehmen,  in der er in der Lage ist, die DNS-Records der Domäne zu ändern, die er für seinen Angriff nutzen will. Dann muss er verschiedene Seiten in der infizierten Domäne erzeugen, die die Website für den Angriff hosten soll und diese mit DNS verlinken. Schließlich wird der Angreifer eine ausreichende Kontrolle über den Webserver haben, sodass er ihn dazu bewegen kann, bei Bedarf einen TCP reset (RST) Befehl zu versenden.

Der Angriff beginnt, wenn der Nutzer die bösartige Site besucht. Heffner nutzte DNS, um die öffentliche IP-Adresse des Opfers zu kassieren, doch gibt es auch andere Möglichkeiten dafür. Sobald der Kriminelle die IP-Adresse hat, muss er schnell eine neue Unterdomäne in der Angriffsdomäne erzeugen mit zwei A-Records, die einen Host-Namen einer IP-Adresse zuordnen. Der erste Record zeigt auf den Server, während er zweite auf die öffentliche IP-Adresse des Routers des Opfers weist. Der Webserver leitet nun den Browser des Opfers auf eine Seite um mit JavaScript-Code, der den CSRF-Teil des Angriffs ausführt.

Jetzt wird es interessant! Der Browser beginnt den JavaScript-Code auszuführen und der versucht, sich mit der temporären Unterdomäne zu verbinden. Der angreifende Server antwortet mit einem RST-Befehl und beendet die Session. Das System des Users versucht dann eine weitere ihm bekannte IP-Adresse für denselben Host-Namen – und das ist die externe Adresse des Routers. Alle Ergebnisse werden an den angreifenden Server über ein Portal weitergegeben, sodass der Angreifer verschiedene Nutzernamen und Kennwortkombinationen ausprobieren kann, bis er sich erfolgreich verbindet oder der Browser Window/Tab geschlossen wird.

Normalerweise ist die Admin-Konsole für das Internet nicht sichtbar, denn viele Anwender-Router beinhalten eine Default-Einstellung, die verhindert, dass eine IP-Adresse außerhalb des lokalen Netzwerks sich damit verbindet. Doch viele Services auf diesen Geräten lauschen auf Verbindungen auf allen Schnittstellen. Paketfilterfunktionen hindern externe Nutzer daran, auf die Admin-Konsole zuzugreifen, doch interne Nutzer haben häufig Zugang zur Konsole über eine externe IP-Adresse.

Folgende Liste mit Empfehlungen soll dazu beitragen, das Risiko, angegriffen zu werden, zu reduzieren:

Microsoft-Sicherheit

Ihre Meinung ist mir wichtig, deshalb hinterlassen Sie hier einen Kommentar oder tragen Sie sich in den Feed ein und erhalten kostenlos die neuesten Artikel!

Ihre Meinung

(erforderlich)

(erforderlich)