Der neu entdeckte Sicherheitsfehler namens KeyTrap (CVE-2023-50387) birgt eine ernsthafte Bedrohung für die Funktionalität des Internets und stellt insbesondere für Unternehmen ein erhebliches Risiko dar. Durch diesen Konstruktionsfehler in der DNSSEC-Funktion können Kriminelle mit nur einem einzigen DNS-Paket einen anhaltenden Denial-of-Service-Zustand in anfälligen DNS-Resolvern auslösen. Die möglichen Auswirkungen sind katastrophal, da der Internetzugang dadurch komplett blockiert werden kann.
DNSSEC: Sichere Authentifizierung von DNS-Antworten durch kryptografische Signaturen
DNSSEC ist eine essenzielle Sicherheitsfunktion im DNS, die durch die Verwendung kryptografischer Signaturen eine zuverlässige Authentifizierung von DNS-Antworten ermöglicht. Dadurch wird gewährleistet, dass die angeforderten Daten von vertrauenswürdigen Quellen stammen und nicht von Angreifern manipuliert wurden, um den Nutzer auf gefährliche oder betrügerische Webseiten umzuleiten. Diese Funktion spielt eine entscheidende Rolle bei der Aufrechterhaltung der Integrität und Sicherheit des Internetverkehrs.
Die Sicherheitsforscher haben festgestellt, dass DNSSEC trotz fehlerhafter oder falsch konfigurierter kryptografischer Schlüssel und Signaturen diese dennoch sendet. Dies eröffnet Angreifern eine Schwachstelle, die sie ausnutzen können, um neue DNSSEC-basierte Angriffe zu entwickeln. Diese Angriffe führen zu einer enormen Steigerung der algorithmischen Komplexität des DNS-Resolvers um das Zweimillionenfache und führen zu erheblichen Verzögerungen bei der Antwortzeit.
Eine Schwachstelle in der Implementierung des DNS-Resolvers ermöglicht es Angreifern, die Antwortzeit von 56 Sekunden auf bis zu 16 Stunden zu erhöhen. Dies kann erhebliche Auswirkungen auf alle Internetanwendungen haben, wie zum Beispiel Web-Browsing, E-Mail und Instant Messaging. Die Forscher warnen davor, dass diese Art von Angriffen große Teile des Internets lahmlegen könnte.
Die Sicherheitsforscher haben einen detaillierten technischen Bericht über KeyTrap veröffentlicht, in dem der Konstruktionsfehler und dessen Auswirkungen aufgezeigt werden. Seit November 2023 arbeiten sie mit großen DNS-Anbietern zusammen, um das Problem zu lösen. Da der Fehler bereits seit fast 25 Jahren besteht, gestaltet sich die Lösungsfindung als schwierig. Obwohl bereits Korrekturen und Maßnahmen zur Risikominimierung existieren, ist eine umfassende Lösung noch nicht in Sicht. Eine Neubewertung der DNSSEC-Designphilosophie könnte langfristig eine sichere Lösung bieten.
Die jüngste Entdeckung des Sicherheitsfehlers KeyTrap verdeutlicht die kritische Bedeutung einer stabilen und sicheren Internetverbindung für Unternehmen. Ein anhaltender Denial-of-Service-Zustand könnte verheerende Auswirkungen haben, da er zu erheblichen finanziellen Verlusten führen kann. Um sich effektiv vor solchen Angriffen zu schützen, sollten Unternehmen ihre Sicherheitsmaßnahmen überprüfen und gegebenenfalls aktualisieren. Gleichzeitig müssen die Industrie und die Sicherheitsgemeinschaft kontinuierlich an der Lösung von Sicherheitslücken wie KeyTrap arbeiten, um das Internet für alle Nutzer sicherer zu machen.
