Ein neu entdeckter Sicherheitsfehler namens KeyTrap (CVE-2023-50387) bedroht die Funktionalität des Internets und kann erhebliche Folgen für Unternehmen haben. Experten haben einen Konstruktionsfehler in der DNSSEC-Funktion identifiziert, der es Kriminellen ermöglicht, mit nur einem DNS-Paket einen langanhaltenden Denial-of-Service-Zustand in verwundbaren DNS-Resolvern auszulösen. Die möglichen Auswirkungen sind katastrophal, da der Internetzugang dadurch komplett blockiert werden kann.
DNSSEC: Schutz vor gefälschten DNS-Daten und Weiterleitung auf schädliche Webseiten
DNSSEC ist eine essenzielle Funktion im DNS, die DNS-Datensätze mithilfe von kryptografischen Signaturen absichert. Dadurch wird die sichere Authentifizierung von DNS-Antworten gewährleistet, sodass Nutzer sicher sein können, dass die angeforderten Daten von vertrauenswürdigen Quellen stammen und nicht manipuliert wurden. DNSSEC spielt eine wichtige Rolle bei der Abwehr von Angriffen wie Phishing und Man-in-the-Middle-Angriffen, die darauf abzielen, Nutzer auf schädliche Webseiten umzuleiten.
Experten haben eine Schwachstelle in DNSSEC entdeckt, bei der trotz fehlerhafter oder falsch konfigurierter kryptografischer Schlüssel und Signaturen alle relevanten Informationen gesendet werden. Diese Schwachstelle ermöglicht es Angreifern, DNSSEC-basierte Angriffe zu entwickeln, die die algorithmische Komplexität des DNS-Resolvers um das Zweimillionenfache erhöhen und zu erheblichen Verzögerungen in der Antwortzeit führen.
Abhängig von der Implementierung des DNS-Resolvers kann ein einziger Angriff die Antwortzeit von 56 Sekunden auf bis zu 16 Stunden erhöhen. Dies könnte schwerwiegende Auswirkungen auf verschiedene Internetanwendungen wie Web-Browsing, E-Mail und Instant Messaging haben. Experten warnen davor, dass solche Angriffe große Teile des Internets lahmlegen könnten.
Vor Kurzem veröffentlichten die Sicherheitsforscher einen detaillierten technischen Bericht über KeyTrap, der den Konstruktionsfehler und seine möglichen Folgen beschreibt. Seit November 2023 arbeiten sie aktiv mit führenden DNS-Anbietern wie Google und Cloudflare zusammen, um eine Lösung zu finden. Aufgrund der langjährigen Existenz des Fehlers gestaltet sich die Suche nach einer umfassenden Lösung als äußerst schwierig. Obwohl es bereits Korrekturen und Maßnahmen zur Risikominimierung gibt, ist eine endgültige Lösung noch nicht in Sicht. Eine Neubewertung der DNSSEC-Designphilosophie könnte langfristig zu einer sicheren Lösung führen.
Die Entdeckung des Sicherheitsfehlers KeyTrap verdeutlicht die unverzichtbare Bedeutung einer stabilen und sicheren Internetverbindung für Unternehmen. Ein anhaltender Denial-of-Service-Zustand kann verheerende Auswirkungen haben und zu erheblichen finanziellen Verlusten führen. Daher sollten Unternehmen ihre Sicherheitsmaßnahmen einer kritischen Überprüfung unterziehen und gegebenenfalls aktualisieren, um sich vor solchen Angriffen zu schützen. Gleichzeitig ist es von großer Bedeutung, dass die Industrie und die Sicherheitsgemeinschaft kontinuierlich daran arbeiten, Sicherheitslücken wie KeyTrap zu beheben und das Internet für alle Nutzer sicherer zu gestalten.
