DynDNS: AWS- und Google-DNS gaben internen Kunden-DNS-Traffic weiter

Aufgrund einer Windows-Konfiguration konnten Forscher DNS-Traffic von Tausenden Rechnern über die Cloud mitschneiden. Die Lücke ist geschlossen.

Artikel veröffentlicht am ,
Cloud-DNS-Dienste geben unter Umständen Informationen ihrer Kunden preis.
Cloud-DNS-Dienste geben unter Umständen Informationen ihrer Kunden preis. (Bild: hdaniel, flickr.com/CC-BY-SA 2.0)

Das von Amazon Web Services genutzte DNS-Angebot Route53 sowie Googles Cloud DNS haben unbeabsichtigt die Möglichkeit geschaffen, internen DNS-Traffic von Kunden an mögliche Angreifer weiterzuleiten. Das berichten die Forscher Shir Tamari und Ami Luttwak vom Sicherheitsunternehmen Wiz in einem Vortrag auf der Black-Hat-Konferenz 2021 sowie im Blog des Unternehmens.

Stellenmarkt
  1. Architect (m/f/d) for Test Automation
    Elektrobit Automotive GmbH, Braunschweig, München, Erlangen, Berlin
  2. (Senior) Software Project Manager (m/f/d) Android Automotive
    Elektrobit Automotive GmbH, Ulm
Detailsuche

In dem Blogeintrag heißt es: "Wir haben eine einfache Lücke gefunden, die es uns ermöglichte, einen Teil des weltweiten dynamischen DNS-Verkehrs abzufangen, der über verwaltete DNS-Anbieter wie Amazon und Google läuft". Die Forscher konnten darüber eigenen Angaben zufolge den DNS-Traffic von rund 15.000 Organisationen und Unternehmen mitlesen, darunter auch Fortune-500-Unternehmen oder US-Regierungsbehörden.

Die erlangten Daten seien dabei "eine bodenlose Quelle wertvoller Informationen - Computernamen, Mitarbeiternamen und -standorte sowie Details zu den Webdomänen von Unternehmen, einschließlich Einstiegspunkten, die direkt mit dem Internet verbunden sind."

Einfache Idee, große Auswirkung

Um das zu erreichen, setzten die Beteiligten eine recht einfache Idee um, indem sie eine Domain mit dem Namen der DNS-Server der Cloud-Anbieter in deren Diensten selbst anmeldeten. Die Dienste haben oft einfach zu nutzende UIs, die es ermöglichen, beliebige Domainnamen sowie die IP-Adresse des dazugehörigen DNS-Servers zu hinterlegen. Die Korrektheit dieser Daten wird üblicherweise in dem Cloud-Dienst selbst nicht überprüft.

Golem Karrierewelt
  1. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    31.08.-02.09.2022, Virtuell
  2. Angular für Einsteiger: virtueller Zwei-Tage-Workshop
    26./27.09.2022, Virtuell
Weitere IT-Trainings

Nachdem sie die eigenen Server mit dem gleichen Namen wie das Original der Cloud-Dienste angelegt hatten, erhielten die Forscher "eine Flut" von Netzwerktraffic. Dabei handelt es sich konkret um DynDNS-Netzwerkverkehr von Windows-Rechnern. Diese fragten den fingierten DNS-Server nach Informationen über sich selbst ab.

Ursache dafür ist laut den Forschern ein einzigartiger von Windows für DynDNS genutzter Algorithmus, der letztlich auch irgendwann den DNS-Server der Forscher anfragt. Windows-Hersteller Microsoft sieht sich hier aber nicht in der Verantwortung, den Algorithmus zu ändern. Den Angaben der Forscher zufolge hält Microsoft das gefundene Verhalten nicht für eine Sicherheitslücke, sondern lediglich für eine weit verbreitete Fehlkonfiguration.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Um das Mitlesen des DNS-Verkehrs über die geschilderte Methoden zu stoppen, müssen also die DNS-Cloud-Hoster ihre Angebote anpassen und etwa die genutzten Domains ihrer Kunden überprüfen. AWS und Google haben ihre Angebote inzwischen geschützt. Bei anderen Anbietern könnten aber weiter ähnliche Angriffe möglich sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Einsparverordnungen
So sollen Verwaltung, Bürger und Firmen Energie sparen

Reduzierte Raumtemperaturen und ungeheizte Swimmingpools: Die Regierung fordert eine "nationale Kraftanstrengung" wegen des Gasmangels.

Einsparverordnungen: So sollen Verwaltung, Bürger und Firmen Energie sparen
Artikel
  1. Bildverkleinern in C#: Eine Windows-App zur Verkleinerung von Bilddateien
    Bildverkleinern in C#
    Eine Windows-App zur Verkleinerung von Bilddateien

    Wir zeigen mit Visual Studio, wie Drag-&-Drop funktioniert, klären, ob unter Windows runde Fenster möglich sind, und prüfen, wie aufwendig eine mehrsprachige Bedienungsoberfläche ist (ziemlich).
    Eine Anleitung von Michael Bröde

  2. Web Components mit StencilJS: Mehr Klarheit im Frontend
    Web Components mit StencilJS
    Mehr Klarheit im Frontend

    Je mehr UI/UX in Anwendungen vorkommt, desto mehr Unordnung gibt es im Frontend. StencilJS zeigt, wie man verschiedene Frameworks mit Web Components zusammenbringt.
    Eine Anleitung von Martin Reinhardt

  3. Geheimgespräche: Apple wollte angeblich Anteil an Facebooks Werbeeinnahmen
    Geheimgespräche
    Apple wollte angeblich Anteil an Facebooks Werbeeinnahmen

    Apples höherer Datenschutz macht Facebook inzwischen das Leben schwer. Zuvor soll es geheime Gespräche über eine Umsatzbeteiligung gegeben haben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG 38WN95C-W (UWQHD+, 144 Hz) 933,35€ • Sharkoon Light² 180 22,99€ • HyperX Cloud Flight 44€ • BenQ Mobiuz EX3410R 499€ • MindStar (u. a. AMD Ryzen 5 5600X 169€, Intel Core i5-12400F 179€ und XFX RX 6800 XT 699€) • Weekend Sale bei Alternate (u. a. AKRacing Master PRO 353,99€) [Werbung]
    •  /