Tietoturva nyt!

5.12.2008

DHCP-palvelimeksi tekeytyvä haittaohjelma

DHCP on protokolla, jota käytetään tyypillisesti IP-osoitteen ja muiden asetusten, kuten nimipalvelimen ja oletusyhdyskäytävän määrittämiseen verkkoon kytkeytyville tietokoneille. Tietoturvayhtiö Symantec on kirjoittanut raportin haittaohjelmasta, joka tekeytyy DHCP-palvelimeksi ja jakaa IP-asetuksia samassa verkossa DHCP-pyyntöjä tekeville tietokoneille.

Raportissa mainittu haittaohjelma jakaa DHCP-vastauksissaan vihamieliset nimipalveluasetukset. Jos kyseisen haittaohjelman saastuttaman tietokoneen lähettämä DHCP-vastaus tavoittaa DHCP-kyselyn tehneen tietokoneen ennen verkon varsinaisen DHCP-palvelimen lähettämää vastausta, DHCP-pyynnön suorittanut tietokone päätyy käyttämään nimipalvelimia, jotka voivat esimerkiksi ohjata käyttäjän eri verkkopalveluiden kirjautumistietoja urkkiville www-sivustoille.

Suoraan saastuneen työaseman nimipalvelinasetuksia muuttavia haittaohjelmia on havaittu jo aiemmin. Nyt havaittu haittaohjelma saattaa kuitenkin onnistua muuttamaan myös muiden samassa verkossa olevien tietokoneiden nimipalvelinasetuksia ilman että näihin tietokoneisiin on tarttunut haittaohjelmaa.

CERT-FI:n tietoon ei ole tullut tapauksia, joissa kyseistä haittaohjelmaa olisi havaittu suomalaisissa verkoissa.

Lisätietoa

• http://isc.sans.org/diary.html?storyid=5434
• http://en.wikipedia.org/wiki/Rogue_DHCP
  

Sivua päivitetty 06.12.2008

Tulostusversio