• IT-Karriere:
  • Services:

Subdomain-Takeover: Hunderte Microsoft-Subdomains gekapert

Ein Sicherheitsforscher konnte in den vergangenen Jahren Hunderte Microsoft-Subdomains kapern, doch trotz Meldung kümmerte sich Microsoft nur um wenige. Doch nicht nur der Sicherheitsforscher, auch eine Glücksspielseite übernahm offizielle Microsoft.com-Subdomains.

Artikel veröffentlicht am ,
Wo Microsoft draufsteht, steckt nicht immer Microsoft dahinter.
Wo Microsoft draufsteht, steckt nicht immer Microsoft dahinter. (Bild: Gerd Altmann/Pixabay)

Microsofts Subdomain-Landschaft ist unübersichtlich. Immer wieder kommen neue zu den Tausenden Subdomains hinzu und alte verschwinden. Dabei vergessen die Microsoft-Admins jedoch regelmäßig, auch die DNS-Einträge für die Subdomains zu löschen. Damit lassen sich die Subdomains, die häufig in die Microsoft-Cloud verweisen, einfach übernehmen - ein sogenannter Subdomain-Takeover.

Stellenmarkt
  1. ITEOS, Stuttgart
  2. ERGO Group AG', München

Allein 259 solcher Subdomains hat der Sicherheitsforscher Michel Gaschet im vorigen Jahr an Microsoft gemeldet. Doch der Trick wird nicht nur von ihm genutzt, auch eine zwielichtige, indonesische Glücksspielseite wurde unter mindestens vier vernachlässigten Microsoft-Subdomains entdeckt. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Laut Gaschet kümmerte sich Microsoft nur um fünf bis zehn Prozent der gemeldeten verwaisten Subdomains. Demnach würden bekannte Subdomains wie cloud.microsoft.com oder account.dpedge.microsoft.com gefixt; um den Großteil der von ihm gemeldeten Subdomains würde sich das Unternehmen jedoch nicht kümmern. Gaschet vermutet, dass dies auch daran liegt, dass Subdomain-Takeover nicht in Microsofts Bug-Bounty-Programm zählt. Daher würden die Probleme nicht priorisiert behandelt.

Dabei bietet eine übernommene Subdomain viele Angriffsmöglichkeiten. Beispielsweise können unter den legitimen microsoft.com- oder msn.com-Domains Phishingwebseiten betrieben werden oder es kann versucht werden, Cookies unter der Hauptdomain abzugreifen.

Die Cookies sind zwar zwischen unterschiedlichen Subdomains und Domains getrennt (same-origin policy5), allerdings teilen viele Domains Cookies mit ihren Subdomains. So werden beispielsweise Single-Sign-On-Dienste (SSO) über Subdomains realisiert. Sowohl beim Netzwerkausrüster Ubiquiti als auch bei Uber konnten mittels Subdomain Takeover Session-Cookies abgegriffen und damit Sessions übernommen werden. Auch bei Microsoft entdeckte Gaschet bereits Angriffe, beispielsweise eine indonesische Glücksspielseite, die mindestens vier Microsoft-Subdomains übernommen hatte: portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com und blog-ambassadors.microsoft.com.

Auch Windows-Kacheln konnten übernommen werden

Bereits im April 2019 konnte Golem.de die Subdomain notifications.buildmypinnedsite.com übernehmen, mit der sich die Kacheln oder Tiles, die Microsoft mit Windows 8 eingeführt hat, steuern ließen. Die Domain von Microsoft war zwar nicht mehr aktiv, die Microsoft-Admins hatten jedoch vergessen, den CNAME-Eintrag im DNS zu löschen. Dieser verwies auf eine nicht mehr registrierte Subdomain in der Azure-Cloud, die Golem.de registrieren und anschließend Inhalte an die Windows-Kacheln ausliefern konnte.

Das Problem verwaister Subdomains beschränkt sich jedoch nicht auf Microsoft, immer wieder löschen Admins Webseiten in der Cloud, vergessen aber auch die DNS-Server anzupassen. Im Unterschied zu den kommerziellen Cloud-Diensten schickt dieser auch keine Erinnerung in Form einer Rechnung. Im Juni vorigen Jahres konnte die Sicherheitsfirma Checkpoint beispielsweise eine verwaiste Subdomain des Spieleherstellers Electronic Arts (EA) übernehmen.

Unter der Subdomain betrieben die Sicherheitsfirmen eine Phishingwebseite, in der signin.ea.com in einem Iframe eingebunden ist. Meldet sich ein Benutzer über diese Webseite an, konnten die Sicherheitsfirmen über mehrere Redirects das Zugangstoken an die Subdomain unter ihrer Kontrolle übergeben lassen und hatten somit Zugriff auf das SSO-Token eines Spielers - und damit über das EA-Konto des Spielers.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 9,99€
  2. (-15%) 42,49€
  3. 19,99€
  4. gratis (bis 02. April, 17 Uhr)

Wary 21. Feb 2020 / Themenstart

Das steht im DNS. DNS ist sowas wie das Telefonbuch des Internets! Da kannst du für...

Wary 21. Feb 2020 / Themenstart

Du machst es falsch! ; <<>> DiG 9.11.3-1ubuntu1.11-Ubuntu <<>> portal.ds.microsoft.com...

FreiGeistler 21. Feb 2020 / Themenstart

"... 70%-80% der weltweiten Office-Nutzung..." Zwischen den Zeilen lesen!

Kommentieren


Folgen Sie uns
       


DLR Istar vorgestellt - Bericht

Die Falcon 2000LX des DLR hat weltweit einzigartige Eigenschaft: sie kann so tun, als wäre sie ein anderes Flugzeug.

DLR Istar vorgestellt - Bericht Video aufrufen
Golem Akademie: IT-Sicherheit für Webentwickler als Live-Webinar
Golem Akademie
"IT-Sicherheit für Webentwickler" als Live-Webinar

Wegen der Corona-Pandemie findet unser Workshop zur IT-Sicherheit für Webentwickler nicht als Präsenzseminar, sondern im Netz statt: in einem Live-Webinar Ende April mit Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck.

  1. Golem Akademie Zeitmanagement für IT-Profis
  2. Golem Akademie IT-Sicherheit für Webentwickler
  3. In eigener Sache Golem-pur-Nutzer erhalten Rabatt für unsere Workshops

Coronakrise: IT-Freelancer müssen als Erste gehen
Coronakrise
IT-Freelancer müssen als Erste gehen

Die Pandemie schlägt bei vielen IT-Freiberuflern schneller zu als bei Festangestellten. Schon die Hälfte aller Projekte sind gecancelt. Überraschung: Bei der anderen Hälfte läuft es weiter wie bisher. Wie das?
Ein Bericht von Peter Ilg

  1. Corona Lidl Connect setzt Drosselung herauf
  2. Coronakrise SPD-Chefin warnt vor Panik durch ungenaues Handytracking
  3. Buglas Corona-Pandemie zeigt Notwendigkeit der Glasfaser

Coronakrise: Welche Hilfen IT-Freelancer bekommen
Coronakrise
Welche Hilfen IT-Freelancer bekommen

Das Hilfspaket des Bundes in Milliardenhöhe sieht kaum Leistungen vor, mit denen IT-Freelancer etwas anfangen können. Den Bitkom empört das nicht.
Ein Bericht von Gerd Mischler

  1. Jobporträt Softwaretester "Ein gesunder Pessimismus hilft"
  2. Frauen in der IT Software-Entwicklung ist nicht nur Männersache
  3. Virtuelle Zusammenarbeit Wie Online-Meetings nicht zur Zeitverschwendung werden

    •  /