Das ATHENE-Team hat eine neue Angriffsklasse namens "KeyTrap" entwickelt, die verdeutlicht, wie Cyberkriminelle diesen Designfehler in DNSSEC ausnutzen könnten, um mit nur einem DNS-Paket die DNS-Infrastruktur lahmzulegen. Ein erfolgreicher Angriff könnte zur Nichtverfügbarkeit kritischer Internetdienste führen, einschließlich Web-Browsern, E-Mail und Instant Messaging, was weitreichende Folgen für die Nutzbarkeit des Internets hätte.

Schwachstelle und Behebungsmaßnahmen

Die Forschungsgruppe arbeitete über Monate mit Herstellern und großen öffentlichen DNS-Anbietern zusammen, um spezifische Patches zu entwickeln, die die Schwachstelle entschärfen. Die letzten dieser Patches wurden am 13. Februar veröffentlicht. Allen Anbietern von DNS-Diensten wird nahegelegt, diese Patches unverzüglich zu implementieren, um die Sicherheitslücke zu schließen.

Das ATHENE-Team, zu dem auch Experten der Goethe Universität Frankfurt, des Fraunhofer SIT und der Technischen Universität Darmstadt gehören, identifizierte den Fehler als Teil einer breiteren Klasse von "Algorithmic Complexity Attacks". Die sogenannte KeyTrap-Attacke kann mit nur einem einzigen DNS-Paket sämtliche gängigen DNS-Implementierungen überlasten und für einen Zeitraum von bis zu 16 Stunden außer Betrieb setzen. Große DNS-Anbieter haben KeyTrap bereits als den schwerwiegendsten Angriff auf DNS bezeichnet, der je entdeckt wurde.

Langfristige Herausforderungen und Forschungsbeiträge

Die aufgedeckten Schwachstellen, die nun unter der Bezeichnung CVE-2023-50387 registriert sind, offenbaren eine langjährige Sicherheitslücke, die bereits in Standards wie dem veralteten RFC 2535 aus dem Jahr 1999 enthalten war und sich bis in die aktuellen Implementierungen erstreckt. Die Komplexität der DNSSEC-Validierungsanforderungen und die Verankerung des Fehlers in der Designphilosophie von DNSSEC erschweren eine einfache Behebung. Dies erfordert ein grundsätzliches Überdenken und möglicherweise eine Überarbeitung der DNSSEC-Standards.