Update: DoS-Attacke auf DNS-Server von NAI

Antivirenspezialist Network Associates (NAI) ist am Mittwochabend (Ortszeit) Opfer einer DoS-Attacke geworden. NAI war 90 Minuten lang nur zäh oder nicht zu erreichen. In den Foren von Securityfocus verdichten sich die Anzeichen, dass die Attacke ungewollt ausgelöst wurde.

Die NAI-Techniker sind angeblich noch auf der Suche nach der Quelle des Übels. Ob das Unternehmen das FBI einschaltet, wurde nicht mitgeteilt. Wie auch beim Totalausfall von Microsoft waren die DNS-Server Ziel der Attacke.

In den Bugtraq-Foren von Securityfocus.com finden sich Hinweise darauf, wie der Angriff abgelaufen sein könnte: Nämlich durch ein Versehen. Am Mittwoch hat dort ein Teilnehmer (nobody@replay.com) unter dem Subject: "BIND 8 exploit" Code gepostet. Zur Erläuterung: BIND (Berkeley Internet Name Domain) ist der am häufigste genutzten DNS-Server. Im Code des Postings versteckt, so haben andere Teilnehmer später ermittelt, finden sich Funktionen die eine Attacke gegen NAI auslösen.

Dass die DoS -Attacke auf NAI wenige Stunden nach dem Posting stattgefunden hat, lässt vermuten, dass die Attacke teils ungewollt durch Teilnehmer in den Bugtraq-Foren ausgelöst wurde, die die Sicherheit der eigenen Server prüfen wollten. Die Exploits in Bugtraq werden von vielen Administratoren vorsichtshalber getestet, um zu sehen, ob das eigenen Netzwerk anfällig dagegen ist.

Im Shellcode steckt, wie auf dem Screenshot zu sehen unter anderem die Adresse des NAI DNS-Servers (dns1.nai.com). Compiliert, so haben die Bugtraq-Teilnehmer herausgefunden, richtet sich der Exploit gegen diesen Server.

Die Markierung zeigt die IP-Adresse von dns1.nai.com, einem DNS-Server von NAI, die im Shellcode steckt.

Der Schaden bei NAI war bei weitem nicht so groß wie bei Microsoft. Nach 15 Minuten bemerkte die routinemäßige Systemüberwachung den unnormalen Traffic, teilte NAI mit.

Wie in unserem Report nachzulesen wurde auch Microsoft Opfer einer Attacke auf die DNS-Server. Bisher versuchten Angreifer in der Regel über die Webserver eines Unternehmens Schaden anzurichten. (uba)