Subdomain-Takeover: Hunderte Microsoft-Subdomains gekapert

Ein Sicherheitsforscher konnte in den vergangenen Jahren Hunderte Microsoft-Subdomains kapern, doch trotz Meldung kümmerte sich Microsoft nur um wenige. Doch nicht nur der Sicherheitsforscher, auch eine Glücksspielseite übernahm offizielle Microsoft.com-Subdomains.

Artikel veröffentlicht am ,
Wo Microsoft draufsteht, steckt nicht immer Microsoft dahinter.
Wo Microsoft draufsteht, steckt nicht immer Microsoft dahinter. (Bild: Gerd Altmann/Pixabay)

Microsofts Subdomain-Landschaft ist unübersichtlich. Immer wieder kommen neue zu den Tausenden Subdomains hinzu und alte verschwinden. Dabei vergessen die Microsoft-Admins jedoch regelmäßig, auch die DNS-Einträge für die Subdomains zu löschen. Damit lassen sich die Subdomains, die häufig in die Microsoft-Cloud verweisen, einfach übernehmen - ein sogenannter Subdomain-Takeover.

Stellenmarkt
  1. Prozessmanager Digitalisierung Einkauf (m/w/d)
    Kaufland Dienstleistung GmbH & Co. KG, Heilbronn
  2. (Junior-) Referent (m/w/d) für das Anwendungsmanagement im Team IT-Management und Services
    Taunus Sparkasse, Bad Homburg vor der Höhe
Detailsuche

Allein 259 solcher Subdomains hat der Sicherheitsforscher Michel Gaschet im vorigen Jahr an Microsoft gemeldet. Doch der Trick wird nicht nur von ihm genutzt, auch eine zwielichtige, indonesische Glücksspielseite wurde unter mindestens vier vernachlässigten Microsoft-Subdomains entdeckt. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Laut Gaschet kümmerte sich Microsoft nur um fünf bis zehn Prozent der gemeldeten verwaisten Subdomains. Demnach würden bekannte Subdomains wie cloud.microsoft.com oder account.dpedge.microsoft.com gefixt; um den Großteil der von ihm gemeldeten Subdomains würde sich das Unternehmen jedoch nicht kümmern. Gaschet vermutet, dass dies auch daran liegt, dass Subdomain-Takeover nicht in Microsofts Bug-Bounty-Programm zählt. Daher würden die Probleme nicht priorisiert behandelt.

Dabei bietet eine übernommene Subdomain viele Angriffsmöglichkeiten. Beispielsweise können unter den legitimen microsoft.com- oder msn.com-Domains Phishingwebseiten betrieben werden oder es kann versucht werden, Cookies unter der Hauptdomain abzugreifen.

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    14.–16. März 2022, Virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
Weitere IT-Trainings

Die Cookies sind zwar zwischen unterschiedlichen Subdomains und Domains getrennt (same-origin policy5), allerdings teilen viele Domains Cookies mit ihren Subdomains. So werden beispielsweise Single-Sign-On-Dienste (SSO) über Subdomains realisiert. Sowohl beim Netzwerkausrüster Ubiquiti als auch bei Uber konnten mittels Subdomain Takeover Session-Cookies abgegriffen und damit Sessions übernommen werden. Auch bei Microsoft entdeckte Gaschet bereits Angriffe, beispielsweise eine indonesische Glücksspielseite, die mindestens vier Microsoft-Subdomains übernommen hatte: portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com und blog-ambassadors.microsoft.com.

Auch Windows-Kacheln konnten übernommen werden

Bereits im April 2019 konnte Golem.de die Subdomain notifications.buildmypinnedsite.com übernehmen, mit der sich die Kacheln oder Tiles, die Microsoft mit Windows 8 eingeführt hat, steuern ließen. Die Domain von Microsoft war zwar nicht mehr aktiv, die Microsoft-Admins hatten jedoch vergessen, den CNAME-Eintrag im DNS zu löschen. Dieser verwies auf eine nicht mehr registrierte Subdomain in der Azure-Cloud, die Golem.de registrieren und anschließend Inhalte an die Windows-Kacheln ausliefern konnte.

Das Problem verwaister Subdomains beschränkt sich jedoch nicht auf Microsoft, immer wieder löschen Admins Webseiten in der Cloud, vergessen aber auch die DNS-Server anzupassen. Im Unterschied zu den kommerziellen Cloud-Diensten schickt dieser auch keine Erinnerung in Form einer Rechnung. Im Juni vorigen Jahres konnte die Sicherheitsfirma Checkpoint beispielsweise eine verwaiste Subdomain des Spieleherstellers Electronic Arts (EA) übernehmen.

Unter der Subdomain betrieben die Sicherheitsfirmen eine Phishingwebseite, in der signin.ea.com in einem Iframe eingebunden ist. Meldet sich ein Benutzer über diese Webseite an, konnten die Sicherheitsfirmen über mehrere Redirects das Zugangstoken an die Subdomain unter ihrer Kontrolle übergeben lassen und hatten somit Zugriff auf das SSO-Token eines Spielers - und damit über das EA-Konto des Spielers.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Lego Star Wars UCS AT-AT aufgebaut
"Das ist kein Mond, das ist ein Lego-Modell"

Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
Ein Praxistest von Oliver Nickel

Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
Artikel
  1. Streaming: Netflix zeigt neuen Wallace-&-Gromit-Film
    Streaming
    Netflix zeigt neuen Wallace-&-Gromit-Film

    Neben einem neuen Film der Reihe Wallace & Gromit ist eine Fortsetzung von Chicken Run geplant, die beide bei Netflix laufen sollen.

  2. Kryptowährung im Fall: Bitcoin legt rasante Talfahrt hin
    Kryptowährung im Fall
    Bitcoin legt rasante Talfahrt hin

    Am Samstag setzte sich der Absturz des Bitcoin fort. Ein Bitcoin ist nur noch 34.200 US-Dollar wert. Auch andere Kryptowährungen machen Verluste.

  3. Sicherheit: Erfolgreicher Angriff auf Nutzerkonten bei Thalia
    Sicherheit
    Erfolgreicher Angriff auf Nutzerkonten bei Thalia

    Die Buchhandelskette Thalia ist Opfer einer Cyberattacke geworden, bei der Unbefugte an Anmeldedaten von Kunden gelangt sind.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 120,95€ • Alternate (u.a. AKRacing Master Pro Deluxe 449,98€) • Seagate FireCuda 530 1 TB (PS5) 189,90€ • RTX 3070 989€ • The A500 Mini 189,90€ • Intel Core i9 3.7 459,50€ • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /