Ein neuer Sicherheitsfehler mit dem Namen KeyTrap (CVE-2023-50387) bedroht die Funktionalität des Internets und könnte für Unternehmen katastrophale Auswirkungen haben. Fachleute haben den Konstruktionsfehler in der DNSSEC-Funktion entdeckt, der es Kriminellen ermöglicht, mit nur einem einzelnen DNS-Paket einen anhaltenden Denial-of-Service-Zustand in verwundbaren DNS-Resolvern auszulösen. Die Blockierung des Internetzugangs kann schwerwiegende Folgen haben und Unternehmen vor erhebliche Herausforderungen stellen.
DNSSEC: Kryptografische Signaturen gewährleisten sichere Datenübertragung im DNS
DNSSEC ist eine wichtige Sicherheitsfunktion im DNS, die mithilfe von kryptografischen Signaturen die Authentizität von DNS-Antworten gewährleistet. Durch diese Überprüfung wird sichergestellt, dass die angeforderten Daten von seriösen Quellen stammen und nicht von Angreifern manipuliert wurden, um den Nutzer auf gefährliche oder bösartige Webseiten umzuleiten. DNSSEC spielt eine entscheidende Rolle bei der Sicherung des Domain Name Systems und trägt dazu bei, die Integrität und Vertrauenswürdigkeit des Internets zu gewährleisten.
DNSSEC weist eine Schwachstelle auf, bei der trotz fehlerhafter oder falsch konfigurierter kryptografischer Schlüssel und Signaturen alle relevanten Informationen gesendet werden. Diese Schwachstelle ermöglicht Angreifern die Entwicklung neuer DNSSEC-basierter Angriffe, die die algorithmische Komplexität des DNS-Resolvers um das Zweimillionenfache erhöhen und zu erheblichen Verzögerungen bei der Beantwortung von Anfragen führen.
Je nach Implementierung des DNS-Resolvers kann ein einzelner Angriff die Antwortzeit von 56 Sekunden auf bis zu 16 Stunden erhöhen. Dies hätte schwerwiegende Auswirkungen auf alle Arten von Internetanwendungen, einschließlich Web-Browsing, E-Mail und Instant Messaging. Die Experten warnen davor, dass diese Angriffe das Internet stark beeinträchtigen und große Teile davon lahmlegen könnten.
Die Sicherheitsforscher haben kürzlich einen detaillierten technischen Bericht über den Konstruktionsfehler KeyTrap veröffentlicht, in dem sie die möglichen Folgen für die IT-Sicherheit darlegen. Seit November 2023 arbeiten sie aktiv mit führenden DNS-Anbietern wie Google und Cloudflare zusammen, um das Problem zu lösen. Die Lösungsfindung gestaltet sich jedoch schwierig, da der Fehler bereits seit fast einem Vierteljahrhundert besteht. Obwohl es bereits Maßnahmen zur Risikominderung gibt, ist eine umfassende Lösung noch nicht in Reichweite. Eine Neubewertung der DNSSEC-Designphilosophie könnte langfristig eine sichere Lösung bieten.
Die Entdeckung des Sicherheitsfehlers KeyTrap unterstreicht die enorme Bedeutung einer stabilen und sicheren Internetverbindung für Unternehmen. Ein anhaltender Denial-of-Service-Zustand kann verheerende Auswirkungen haben und zu erheblichen finanziellen Verlusten führen. Unternehmen sollten daher ihre Sicherheitsmaßnahmen sorgfältig überprüfen und gegebenenfalls aktualisieren, um sich wirksam gegen solche Angriffe zu schützen. Gleichzeitig ist es von großer Bedeutung, dass die Industrie und die Sicherheitsgemeinschaft kontinuierlich daran arbeiten, Sicherheitslücken wie KeyTrap zu beseitigen und das Internet für alle Nutzer sicherer zu machen.
