Subdomain-Takeover: Hunderte Microsoft-Subdomains gekapert

Microsofts Subdomain-Landschaft ist unübersichtlich. Immer wieder kommen neue zu den Tausenden Subdomains hinzu und alte verschwinden. Dabei vergessen die Microsoft-Admins jedoch regelmäßig, auch die DNS-Einträge für die Subdomains zu löschen. Damit lassen sich die Subdomains, die häufig in die Microsoft-Cloud verweisen, einfach übernehmen - ein sogenannter Subdomain-Takeover.

Allein 259 solcher Subdomains hat der Sicherheitsforscher Michel Gaschet im vorigen Jahr an Microsoft gemeldet. Doch der Trick wird nicht nur von ihm genutzt, auch eine zwielichtige, indonesische Glücksspielseite wurde unter mindestens vier vernachlässigten Microsoft-Subdomains entdeckt. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Laut Gaschet kümmerte sich Microsoft nur um fünf bis zehn Prozent der gemeldeten verwaisten Subdomains. Demnach würden bekannte Subdomains wie cloud.microsoft.com oder account.dpedge.microsoft.com gefixt; um den Großteil der von ihm gemeldeten Subdomains würde sich das Unternehmen jedoch nicht kümmern. Gaschet vermutet, dass dies auch daran liegt, dass Subdomain-Takeover nicht in Microsofts Bug-Bounty-Programm zählt. Daher würden die Probleme nicht priorisiert behandelt.

Dabei bietet eine übernommene Subdomain viele Angriffsmöglichkeiten. Beispielsweise können unter den legitimen microsoft.com- oder msn.com-Domains Phishingwebseiten betrieben werden oder es kann versucht werden, Cookies unter der Hauptdomain abzugreifen.

Die Cookies sind zwar zwischen unterschiedlichen Subdomains und Domains getrennt (same-origin policy5), allerdings teilen viele Domains Cookies mit ihren Subdomains. So werden beispielsweise Single-Sign-On-Dienste (SSO) über Subdomains realisiert. Sowohl beim Netzwerkausrüster Ubiquiti als auch bei Uber konnten mittels Subdomain Takeover Session-Cookies abgegriffen und damit Sessions übernommen werden. Auch bei Microsoft entdeckte Gaschet bereits Angriffe, beispielsweise eine indonesische Glücksspielseite, die mindestens vier Microsoft-Subdomains übernommen hatte: portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com und blog-ambassadors.microsoft.com.

Auch Windows-Kacheln konnten übernommen werden

Bereits im April 2019 konnte Golem.de die Subdomain notifications.buildmypinnedsite.com übernehmen, mit der sich die Kacheln oder Tiles, die Microsoft mit Windows 8 eingeführt hat, steuern ließen. Die Domain von Microsoft war zwar nicht mehr aktiv, die Microsoft-Admins hatten jedoch vergessen, den CNAME-Eintrag im DNS zu löschen. Dieser verwies auf eine nicht mehr registrierte Subdomain in der Azure-Cloud, die Golem.de registrieren und anschließend Inhalte an die Windows-Kacheln ausliefern konnte.

Das Problem verwaister Subdomains beschränkt sich jedoch nicht auf Microsoft, immer wieder löschen Admins Webseiten in der Cloud, vergessen aber auch die DNS-Server anzupassen. Im Unterschied zu den kommerziellen Cloud-Diensten schickt dieser auch keine Erinnerung in Form einer Rechnung. Im Juni vorigen Jahres konnte die Sicherheitsfirma Checkpoint beispielsweise eine verwaiste Subdomain des Spieleherstellers Electronic Arts (EA) übernehmen.

Unter der Subdomain betrieben die Sicherheitsfirmen eine Phishingwebseite, in der signin.ea.com in einem Iframe eingebunden ist. Meldet sich ein Benutzer über diese Webseite an, konnten die Sicherheitsfirmen über mehrere Redirects das Zugangstoken an die Subdomain unter ihrer Kontrolle übergeben lassen und hatten somit Zugriff auf das SSO-Token eines Spielers - und damit über das EA-Konto des Spielers.