Auch in Deutschland: Webseiten vieler bekannter Organisationen lassen sich kapern

Sicherheitsforscher des Wiener Beratungsunternehmens Certitude Consulting warnen derzeit vor verwaisten DNS-Einträgen zahlreicher Organisationen, die es böswilligen Akteuren erlauben, deren Subdomains zu kapern. Wie ein Sprecher des Unternehmens in einer E-Mail an die Redaktion von Golem.de erklärte, konnten die Forscher mehr als 1.000 Organisationen ermitteln, die von der Schwachstelle betroffen sind.

Durch das sogenannte Subdomain Hijacking sei es Angreifern etwa möglich, unter den Domains bekannter Unternehmen, Behörden oder Bildungseinrichtungen beliebige Desinformations- oder Phishing-Webseiten zu hosten. Dadurch lassen sich beispielsweise Schadsoftware oder Falschinformationen verbreiten oder gezielt Zugangsdaten von Besuchern dieser Subdomains stehlen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Clevere KI-Assistenten & CustomGPTs entwickeln: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Vorstellungsgespräche und Job Interviews erfolgreich meistern (E-Learning)

zum Kurs

Auch deutsche Unternehmen sind betroffen

Um den Umfang des Problems zu veranschaulichen, übernahmen die Sicherheitsforscher selber einige Webseiten von besonders gefährdeten Organisationen und stellten dort eine Warnmeldung bereit. Dazu gehören beispielsweise Webseiten von Regierungsbehörden aus Australien(öffnet im neuen Fenster) und den USA(öffnet im neuen Fenster) . Darüber hinaus nennt Certitude Consulting aber auch zwei deutsche Unternehmen, von denen die Forscher jeweils eine Subdomain gekapert haben sollen: das zur Ergo Group gehörende Versicherungsunternehmen Nexible(öffnet im neuen Fenster) sowie der Tabakkonzern Dannemann(öffnet im neuen Fenster) .

Außerdem gelang es den Sicherheitsforschern unter einigen Subdomains eine Weiterleitung auf eine andere Webseite zu erzwingen und damit einen ähnlichen Effekt zu erzielen. Als Beispiele führt Certitude Consulting unter anderem den Nachrichtensender CNN(öffnet im neuen Fenster) , die internationale Nichtregierungsorganisation Caritas(öffnet im neuen Fenster) sowie die University of California(öffnet im neuen Fenster) , die University of Pennsylvania(öffnet im neuen Fenster) und die Stanford University(öffnet im neuen Fenster) an.

Anzeige

Hacking & Security: Das umfassende Hacking-Handbuch mit über 1.000 Seiten Profiwissen. 3., aktualisierte Auflage des IT-Standardwerks (Gebundene Ausgabe)

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Affiliate-Hinweis

Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Cloudprovider und Administratoren sollten handeln

Neben den jeweiligen Webseitenbetreibern sehen die Forscher auch die Cloudprovider in der Verantwortung. "Das Kapern von Subdomains könnte in den meisten Fällen von den Clouddiensten effektiv und lückenlos verhindert werden, indem sie den Domänenbesitz verifizieren und bereits zuvor genutzte Kennungen nicht sofort wieder zur Registrierung freigeben" , erklärt Florian Schweitzer, Experte für Cloud Security bei Certitude Consulting. Microsoft habe das für Azure Storage Accounts bereits umgesetzt, bei anderen Anbietern wie Amazon Web Services sei dies aber noch nicht der Fall.

Certitude Consulting empfiehlt Administratoren, Cloud-Ressourcen erst zu deaktivieren, nachdem sie die damit verbundenen DNS-Einträge entfernt haben. Darüber hinaus sei es sinnvoll, bestehende DNS-Einträge regelmäßig einer Prüfung zu unterziehen.

• Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.