DynDNS: AWS- und Google-DNS gaben internen Kunden-DNS-Traffic weiter

Das von Amazon Web Services genutzte DNS-Angebot Route53 sowie Googles Cloud DNS haben unbeabsichtigt die Möglichkeit geschaffen, internen DNS-Traffic von Kunden an mögliche Angreifer weiterzuleiten. Das berichten die Forscher Shir Tamari und Ami Luttwak vom Sicherheitsunternehmen Wiz in einem Vortrag auf der Black-Hat-Konferenz 2021(öffnet im neuen Fenster) sowie im Blog des Unternehmens(öffnet im neuen Fenster) .

In dem Blogeintrag heißt es: "Wir haben eine einfache Lücke gefunden, die es uns ermöglichte, einen Teil des weltweiten dynamischen DNS-Verkehrs abzufangen, der über verwaltete DNS-Anbieter wie Amazon und Google läuft" . Die Forscher konnten darüber eigenen Angaben zufolge den DNS-Traffic von rund 15.000 Organisationen und Unternehmen mitlesen, darunter auch Fortune-500-Unternehmen oder US-Regierungsbehörden.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: STACKIT Cloud – Strategien, Souveränität, Technologie: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Linux Administration: Networking - als Vorbereitung zum Linux Foundation Certified System Administrator (LFCS) (E-Learning)

zum Kurs

Die erlangten Daten seien dabei "eine bodenlose Quelle wertvoller Informationen – Computernamen, Mitarbeiternamen und -standorte sowie Details zu den Webdomänen von Unternehmen, einschließlich Einstiegspunkten, die direkt mit dem Internet verbunden sind."

Einfache Idee, große Auswirkung

Um das zu erreichen, setzten die Beteiligten eine recht einfache Idee um, indem sie eine Domain mit dem Namen der DNS-Server der Cloud-Anbieter in deren Diensten selbst anmeldeten. Die Dienste haben oft einfach zu nutzende UIs, die es ermöglichen, beliebige Domainnamen sowie die IP-Adresse des dazugehörigen DNS-Servers zu hinterlegen. Die Korrektheit dieser Daten wird üblicherweise in dem Cloud-Dienst selbst nicht überprüft.

Nachdem sie die eigenen Server mit dem gleichen Namen wie das Original der Cloud-Dienste angelegt hatten, erhielten die Forscher "eine Flut" von Netzwerktraffic. Dabei handelt es sich konkret um DynDNS-Netzwerkverkehr von Windows-Rechnern. Diese fragten den fingierten DNS-Server nach Informationen über sich selbst ab.

Ursache dafür ist laut den Forschern ein einzigartiger von Windows für DynDNS genutzter Algorithmus, der letztlich auch irgendwann den DNS-Server der Forscher anfragt. Windows-Hersteller Microsoft sieht sich hier aber nicht in der Verantwortung, den Algorithmus zu ändern. Den Angaben der Forscher zufolge hält Microsoft das gefundene Verhalten nicht für eine Sicherheitslücke, sondern lediglich für eine weit verbreitete Fehlkonfiguration.

Anzeige

Hacking & Security: Das umfassende Hacking-Handbuch mit über 1.000 Seiten Profiwissen. 3., aktualisierte Auflage des IT-Standardwerks (Gebundene Ausgabe)

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Affiliate-Hinweis

Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Um das Mitlesen des DNS-Verkehrs über die geschilderte Methoden zu stoppen, müssen also die DNS-Cloud-Hoster ihre Angebote anpassen und etwa die genutzten Domains ihrer Kunden überprüfen. AWS und Google haben ihre Angebote inzwischen geschützt. Bei anderen Anbietern könnten aber weiter ähnliche Angriffe möglich sein.

• Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.