Z informacji zebranych przez polską sekcję CERT wynika, że niezałatany serwer DNS może ulec tzw. zatruwaniu pamięci (ang. DNS cache poisoning). Wysłanie do serwera DNS serii odpowiednio spreparowanych zapytań może spowodować automatyczne przekierowanie użytkownika pod fałszywy adres IP. Wykorzystuje się to np. do infekowania komputerów złośliwym oprogramowaniem lub wyłudzania od internautów loginów i haseł do ich kont bankowych. Co ważne, cała operacja umyka uwadze atakowanego.

Z analiz przeprowadzonych przez odkrywcę luki wynika, że przestępcy mogą teraz przeprowadzać ataki phishingowe bez potrzeby wysyłania jakichkolwiek e-maili, zachęcających do wejścia na złośliwą stronę. Dziura występuje zarówno w oprogramowaniu stosowanym przez użytkowników indywidualnych, jak też w serwerach DNS należących do dużych korporacji i operatorów internetowych. Nie zaobserwowano do tej pory zatruwania DNS na masową skalę. Choć teoretycznie konsekwencje udanych ataków tego typu mogą być niezwykle groźne dla internautów, wygląda na to, że nie jest łatwo wykorzystać opisany wyżej błąd - uważają specjaliści z CERT.

Dan Kaminsky zapowiedział jednak, że da operatorom serwerów DNS miesiąc na zainstalowanie uaktualnień, na sierpniowej zaś konferencji BlackHat ujawni więcej informacji na temat luki. Specjalista umieścił też na swojej stronie DNS Checker, który umożliwia internautom sprawdzenie, czy serwer DNS, z którego korzystają, jest podatny na atak.

Warto zauważyć, że luka została wykryta już kilka miesięcy temu. Nad rozwiązaniem problemu pracowało do tej pory 16 fachowców specjalizujących się w bezpieczeństwie DNS. Duże znaczenie miało zsynchronizowanie prac nad poprawkami dla wszystkich platform - tak, aby jak najwięcej serwerów DNS zostało załatanych jednocześnie. We wtorek większość najpoważniejszych dostawców udostępniło poprawki do swojego oprogramowania, inni są w trakcie ich opracowywania.

Wśród wydanych zgodnie z harmonogramem lipcowych biuletynów bezpieczeństwa Microsoftu, jeden dotyczył właśnie luki w DNS. Jak podaje US-CERT, odpowiednie uaktualnienia opublikowali też m.in. Cisco, Red Hat, Sun Microsystems oraz Internet Software Consortium. Ostatnia z wymienionych firm udostępnia open-source'owe oprogramowanie BIND (Berkeley Internet Name Domain), wykorzystywane w około 80% światowych serwerów DNS.

Jak podkreśla Iname.pl, do tej pory cyberprzestępcy korzystali z techniki zatruwania DNS dzięki różnym lukom w aplikacjach instalowanych na pecetach. Tym razem problem jest poważniejszy, ponieważ błąd tkwi w protokole odpowiedzialnym za funkcjonowanie sieci WWW.

Producenci oprogramowania DNS dodali wprawdzie do swoich produktów funkcje, blokujące wszystkie potencjalne metody wykorzystania luki do ataku. Specjaliści ds. bezpieczeństwa uważają jednak, że jedynym naprawdę skutecznym sposobem rozwiązania problemu będzie wdrożenie nowej, bezpieczniejszej wersji DNS - DNSSEC (ang. DNS Security Extensions), która zapewni autoryzację źródeł danych za pomocą kryptografii asymetrycznej oraz podpisów cyfrowych.