Door het lek is BIND 9 vatbaar voor een zogenoemde cache poisoning-aanval, waarmee een aanvaller een legitieme dns-record kan 'overschrijven'.

Als een gebruiker dan de legitieme url opvraagt, antwoordt de server met het geïnjecteerde ip-adres van de aanvaller. De bezoeker wordt hierdoor zonder dat het merkbaar is naar een kwaadaardige site doorgestuurd.

De nieuwe aanvalsmethode wordt toegelicht in een technisch document (pdf) over fouten in BIND 9, geschreven door Amit Klein, cto van beveiligingsfabrikant Trusteer.

Volgens de expert is het met deze methode vele malen eenvoudiger om dns-records te overschrijven dan bij voorgaande aanvallen.

"Dit is een vernietigende aanval", aldus Klein. "Door een specifieke dns-server van een provider aan te vallen, kan een aanvaller eenvoudig alle klanten naar een kwaadaardige website doorsturen. Er is niets dat een gebruiker kan doen om dat te voorkomen."

BIND (Berkely Internet Name Domain) is de standaard door sns-serversoftware en wordt al meer dan twintig jaar gebruikt. Versie 9 is geheel vanaf de grond opnieuw is opgebouwd.

Het SANS Internet Storm Center stelt dat de aanvalsmethode niet moeilijk uitvoerbaar lijkt en dat beheerders hun BIND-servers moeten patchen.

Het Internet Systems Consortium, dat BIND onderhoudt, heeft inmiddels een nieuwe versie uitgegeven en adviseert BIND 9.4.1 zo snel mogelijk in gebruik te nemen. Bron: Techworld