KeyTrap-Attacke: Internetzugang mit einem DNS-Paket gestört
Eine schwerwiegende Sicherheitslücke in der DNSSEC-Funktion könnte ausgenutzt werden, um den Internetzugang von Anwendungen für eine längere Zeit zu verweigern.
KeyTrap-Sicherheitslücke in DNSSEC
KeyTrap ist eine schwerwiegende Sicherheitslücke in der DNSSEC-Funktion (Domain Name System Security Extensions), die zum Verweigern des Internetzugangs von Anwendungen führen kann. Sie wird als CVE-2023-50387 verfolgt und betrifft alle gängigen DNS-Implementierungen oder -Dienste.
DNSSEC ist eine Funktion des DNS, die mittels kryptographischer Signaturen in DNS-Einträgen die Authentizität von Antworten gewährleistet. Dadurch wird sichergestellt, dass die DNS-Daten aus einer vertrauenswürdigen Quelle stammen und nicht manipuliert wurden. KeyTrap ist seit über zwei Jahrzehnten im DNSSEC-Standard vorhanden.
Forscher des Nationalen Forschungszentrums für Angewandte Cybersicherheit ATHENE, zusammen mit Experten der Goethe-Universität Frankfurt, des Fraunhofer SIT und der Technischen Universität Darmstadt haben die Sicherheitslücke entdeckt.
Erheblicher Schaden durch eine einzige Anfrage
Die KeyTrap-Sicherheitslücke entsteht durch die Anforderung von DNSSEC, alle relevanten kryptographischen Schlüssel und Signaturen zur Validierung zu senden, auch wenn einige Schlüssel fehlerhaft konfiguriert oder nicht unterstützt sind. Dieses Design-Problem ermöglicht es Angreifern, eine neue Klasse von DNSSEC-basierten algorithmischen Komplexitätsangriffen auszunutzen.
Durch Ausnutzen von KeyTrap können Angreifer die Reaktion eines DNS-Resolver erheblich verzögern, indem sie die CPU-Instruktionen bis zu 2 Millionen Mal erhöhen. Die Dauer des Denial-of-Service-Zustands hängt von der Implementierung des DNS-Resolvers ab, wobei eine einzige Anfrage eine Verzögerung von 56 Sekunden bis zu 16 Stunden verursachen kann.
Die potenziellen Auswirkungen dieses Angriffs sind schwerwiegend, da er große Teile des Internets deaktivieren kann und sich auf Technologien wie Web-Browsing, E-Mail und Instant Messaging auswirkt.
Abmilderung und Auswirkungen auf DNS-Dienstanbieter
KeyTrap blieb aufgrund der Komplexität der DNSSEC-Validierungsanforderungen fast 25 Jahre lang unbemerkt. Allerdings haben Forscher mit DNS-Dienstanbietern wie Google und Cloudflare zusammengearbeitet, um Abmilderungen zu entwickeln.
Akamai, ein führender Anbieter von Content Delivery Network-Diensten, hat Abmilderungen für seine DNS-Resolver, einschließlich CacheServe und AnswerX, entwickelt und implementiert. Diese Abmilderungen begrenzen kryptographische Fehler auf maximal 32 und erschweren es somit, CPU-Ressourcen zu erschöpfen und zum Stillstand zu bringen.
Etwa 35% der Internetnutzer in den USA und 30% weltweit verlassen sich auf DNS-Resolver mit DNSSEC-Validierung und sind somit anfällig für KeyTrap. Fixes wurden bereits in den DNS-Diensten von Google und Cloudflare implementiert.