DynDNS: AWS- und Google-DNS gaben internen Kunden-DNS-Traffic weiter

Aufgrund einer Windows-Konfiguration konnten Forscher DNS-Traffic von Tausenden Rechnern über die Cloud mitschneiden. Die Lücke ist geschlossen.

Artikel veröffentlicht am ,
Cloud-DNS-Dienste geben unter Umständen Informationen ihrer Kunden preis.
Cloud-DNS-Dienste geben unter Umständen Informationen ihrer Kunden preis. (Bild: hdaniel, flickr.com/CC-BY-SA 2.0)

Das von Amazon Web Services genutzte DNS-Angebot Route53 sowie Googles Cloud DNS haben unbeabsichtigt die Möglichkeit geschaffen, internen DNS-Traffic von Kunden an mögliche Angreifer weiterzuleiten. Das berichten die Forscher Shir Tamari und Ami Luttwak vom Sicherheitsunternehmen Wiz in einem Vortrag auf der Black-Hat-Konferenz 2021 sowie im Blog des Unternehmens.

Stellenmarkt
  1. Key User ERP (m/w/d)
    Hays AG, Kempten
  2. Junior IT-Service Operations Engineer (m/w/d)
    Behörde für Justiz und Verbraucherschutz, Hamburg
Detailsuche

In dem Blogeintrag heißt es: "Wir haben eine einfache Lücke gefunden, die es uns ermöglichte, einen Teil des weltweiten dynamischen DNS-Verkehrs abzufangen, der über verwaltete DNS-Anbieter wie Amazon und Google läuft". Die Forscher konnten darüber eigenen Angaben zufolge den DNS-Traffic von rund 15.000 Organisationen und Unternehmen mitlesen, darunter auch Fortune-500-Unternehmen oder US-Regierungsbehörden.

Die erlangten Daten seien dabei "eine bodenlose Quelle wertvoller Informationen - Computernamen, Mitarbeiternamen und -standorte sowie Details zu den Webdomänen von Unternehmen, einschließlich Einstiegspunkten, die direkt mit dem Internet verbunden sind."

Einfache Idee, große Auswirkung

Um das zu erreichen, setzten die Beteiligten eine recht einfache Idee um, indem sie eine Domain mit dem Namen der DNS-Server der Cloud-Anbieter in deren Diensten selbst anmeldeten. Die Dienste haben oft einfach zu nutzende UIs, die es ermöglichen, beliebige Domainnamen sowie die IP-Adresse des dazugehörigen DNS-Servers zu hinterlegen. Die Korrektheit dieser Daten wird üblicherweise in dem Cloud-Dienst selbst nicht überprüft.

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS)
    29. November-1. Dezember 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Nachdem sie die eigenen Server mit dem gleichen Namen wie das Original der Cloud-Dienste angelegt hatten, erhielten die Forscher "eine Flut" von Netzwerktraffic. Dabei handelt es sich konkret um DynDNS-Netzwerkverkehr von Windows-Rechnern. Diese fragten den fingierten DNS-Server nach Informationen über sich selbst ab.

Ursache dafür ist laut den Forschern ein einzigartiger von Windows für DynDNS genutzter Algorithmus, der letztlich auch irgendwann den DNS-Server der Forscher anfragt. Windows-Hersteller Microsoft sieht sich hier aber nicht in der Verantwortung, den Algorithmus zu ändern. Den Angaben der Forscher zufolge hält Microsoft das gefundene Verhalten nicht für eine Sicherheitslücke, sondern lediglich für eine weit verbreitete Fehlkonfiguration.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Um das Mitlesen des DNS-Verkehrs über die geschilderte Methoden zu stoppen, müssen also die DNS-Cloud-Hoster ihre Angebote anpassen und etwa die genutzten Domains ihrer Kunden überprüfen. AWS und Google haben ihre Angebote inzwischen geschützt. Bei anderen Anbietern könnten aber weiter ähnliche Angriffe möglich sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Datenleck
Daten von 106 Millionen Thailand-Reisenden geleakt

In einer ungeschützten Datenbank fanden sich die Daten der Thailand-Reisenden aus den letzten zehn Jahren - inklusive Reisepassnummern.

Datenleck: Daten von 106 Millionen Thailand-Reisenden geleakt
Artikel
  1. Weihnachtsgeschäft: Amazon benötigt wieder 10.000 Saisonkräfte
    Weihnachtsgeschäft
    Amazon benötigt wieder 10.000 Saisonkräfte

    Amazon stellt im Weihnachtsgeschäft wieder viele Befristete ein und zahlt angeblich 12 Euro brutto.

  2. Betriebssystem: Einige Windows-11-Apps funktionieren nicht ohne Internet
    Betriebssystem
    Einige Windows-11-Apps funktionieren nicht ohne Internet

    Um Platz zu sparen, müssen sich einige vorinstallierte Windows-11-Apps mit dem Internet verbinden. Auch ein Microsoft-Konto ist dafür nötig.

  3. Zynga: Zynga Farmville 3 setzt auf Schweinchen
    Zynga
    Zynga Farmville 3 setzt auf Schweinchen

    Echte Gamer hassen Farmville - wenn sie nicht selbst heimlich spielen. Jetzt hat Zynga den dritten Teil vorgestellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 23,8" FHD 144Hz 166,90€ • PS5 bei Amazon zu gewinnen • PCGH-PC mit Ryzen 5 & RTX 3060 999€ • Corsair MP600 Pro 1TB mit Heatspreader PS5-kompatibel 162,90€ • Alternate (u. a. Asus WLAN-Adapter PCIe 24,90€) • MM-Prospekt (u. a. Asus TUF 17" i5 RTX 3050 1.099€) [Werbung]
    •  /