KeyTrap (CVE-2023-50387) ist ein neuer Sicherheitsfehler, der die Funktionalität des Internets bedroht und für Unternehmen schwerwiegende Folgen haben kann. Sicherheitsforscher haben einen Konstruktionsfehler in der DNSSEC-Funktion entdeckt, der es Angreifern ermöglicht, mit nur einem einzigen DNS-Paket einen anhaltenden Denial-of-Service-Zustand in anfälligen DNS-Resolvern auszulösen. Die potenziellen Auswirkungen sind verheerend, da der Internetzugang dadurch vollständig blockiert werden kann.
Sicherheit im DNS: DNSSEC ermöglicht sichere Authentifizierung von Daten
DNSSEC ist eine unverzichtbare Funktion im DNS, die mithilfe von kryptografischen Signaturen die Authentizität von DNS-Antworten sichert. Durch diese Überprüfung wird sichergestellt, dass die angeforderten Daten von zuverlässigen Quellen stammen und nicht von Angreifern manipuliert wurden, um den Nutzer auf gefährliche oder schädliche Webseiten umzuleiten. DNSSEC spielt eine entscheidende Rolle bei der Sicherung des Internetverkehrs und der Verhinderung von Angriffen auf die DNS-Infrastruktur.
Sicherheitsforscher haben festgestellt, dass DNSSEC trotz fehlerhafter oder falsch konfigurierter kryptografischer Schlüssel und Signaturen weiterhin alle relevanten Daten übermittelt. Diese Schwachstelle wird von Angreifern ausgenutzt, um eine neue Klasse von DNSSEC-basierten Angriffen zu entwickeln. Diese Angriffe erhöhen die algorithmische Komplexität des DNS-Resolvers um das Zweimillionenfache und führen zu erheblichen Verzögerungen bei der Bearbeitung von Anfragen.
Bei einer bestimmten Implementierung des DNS-Resolvers kann ein einzelner Angriff die Antwortzeit von 56 Sekunden auf bis zu 16 Stunden erhöhen. Dies hätte weitreichende Auswirkungen auf alle Internetanwendungen wie Web-Browsing, E-Mail und Instant Messaging. Sicherheitsexperten warnen, dass solche Angriffe große Teile des Internets lahmlegen könnten.
Jüngst veröffentlichten die Sicherheitsforscher einen umfassenden technischen Bericht über den Konstruktionsfehler KeyTrap und seine potenziellen Auswirkungen. Seit November 2023 kooperieren sie aktiv mit führenden DNS-Anbietern wie Google und Cloudflare, um eine Lösung zu finden. Aufgrund der langjährigen Existenz des Fehlers gestaltet sich die Suche nach einer umfassenden Lösung als herausfordernd. Obwohl es bereits Korrekturen und Maßnahmen zur Risikominimierung gibt, bleibt eine endgültige Lösung vorerst aus. Eine umfassende Neubewertung der DNSSEC-Designphilosophie könnte langfristig zu einer sicheren Lösung führen.
Die Entdeckung des Sicherheitsfehlers KeyTrap verdeutlicht die immense Bedeutung einer stabilen und sicheren Internetverbindung für Unternehmen. Ein anhaltender Denial-of-Service-Zustand kann verheerende Auswirkungen haben und zu erheblichen finanziellen Verlusten führen. Daher ist es von entscheidender Bedeutung, dass Unternehmen ihre Sicherheitsmaßnahmen überprüfen und gegebenenfalls aktualisieren, um sich vor solchen Angriffen zu schützen. Zusätzlich ist es unerlässlich, dass die Industrie und die Sicherheitsgemeinschaft kontinuierlich an der Lösung von Sicherheitslücken wie KeyTrap arbeiten, um das Internet für alle Nutzer sicherer zu machen.