Subdomain-Takeover: Hunderte Microsoft-Subdomains gekapert

Ein Sicherheitsforscher konnte in den vergangenen Jahren Hunderte Microsoft-Subdomains kapern, doch trotz Meldung kümmerte sich Microsoft nur um wenige. Doch nicht nur der Sicherheitsforscher, auch eine Glücksspielseite übernahm offizielle Microsoft.com-Subdomains.

Artikel veröffentlicht am ,
Wo Microsoft draufsteht, steckt nicht immer Microsoft dahinter.
Wo Microsoft draufsteht, steckt nicht immer Microsoft dahinter. (Bild: Gerd Altmann/Pixabay)

Microsofts Subdomain-Landschaft ist unübersichtlich. Immer wieder kommen neue zu den Tausenden Subdomains hinzu und alte verschwinden. Dabei vergessen die Microsoft-Admins jedoch regelmäßig, auch die DNS-Einträge für die Subdomains zu löschen. Damit lassen sich die Subdomains, die häufig in die Microsoft-Cloud verweisen, einfach übernehmen - ein sogenannter Subdomain-Takeover.

Allein 259 solcher Subdomains hat der Sicherheitsforscher Michel Gaschet im vorigen Jahr an Microsoft gemeldet. Doch der Trick wird nicht nur von ihm genutzt, auch eine zwielichtige, indonesische Glücksspielseite wurde unter mindestens vier vernachlässigten Microsoft-Subdomains entdeckt. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Laut Gaschet kümmerte sich Microsoft nur um fünf bis zehn Prozent der gemeldeten verwaisten Subdomains. Demnach würden bekannte Subdomains wie cloud.microsoft.com oder account.dpedge.microsoft.com gefixt; um den Großteil der von ihm gemeldeten Subdomains würde sich das Unternehmen jedoch nicht kümmern. Gaschet vermutet, dass dies auch daran liegt, dass Subdomain-Takeover nicht in Microsofts Bug-Bounty-Programm zählt. Daher würden die Probleme nicht priorisiert behandelt.

Dabei bietet eine übernommene Subdomain viele Angriffsmöglichkeiten. Beispielsweise können unter den legitimen microsoft.com- oder msn.com-Domains Phishingwebseiten betrieben werden oder es kann versucht werden, Cookies unter der Hauptdomain abzugreifen.

Die Cookies sind zwar zwischen unterschiedlichen Subdomains und Domains getrennt (same-origin policy5), allerdings teilen viele Domains Cookies mit ihren Subdomains. So werden beispielsweise Single-Sign-On-Dienste (SSO) über Subdomains realisiert. Sowohl beim Netzwerkausrüster Ubiquiti als auch bei Uber konnten mittels Subdomain Takeover Session-Cookies abgegriffen und damit Sessions übernommen werden. Auch bei Microsoft entdeckte Gaschet bereits Angriffe, beispielsweise eine indonesische Glücksspielseite, die mindestens vier Microsoft-Subdomains übernommen hatte: portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com und blog-ambassadors.microsoft.com.

Auch Windows-Kacheln konnten übernommen werden

Bereits im April 2019 konnte Golem.de die Subdomain notifications.buildmypinnedsite.com übernehmen, mit der sich die Kacheln oder Tiles, die Microsoft mit Windows 8 eingeführt hat, steuern ließen. Die Domain von Microsoft war zwar nicht mehr aktiv, die Microsoft-Admins hatten jedoch vergessen, den CNAME-Eintrag im DNS zu löschen. Dieser verwies auf eine nicht mehr registrierte Subdomain in der Azure-Cloud, die Golem.de registrieren und anschließend Inhalte an die Windows-Kacheln ausliefern konnte.

Das Problem verwaister Subdomains beschränkt sich jedoch nicht auf Microsoft, immer wieder löschen Admins Webseiten in der Cloud, vergessen aber auch die DNS-Server anzupassen. Im Unterschied zu den kommerziellen Cloud-Diensten schickt dieser auch keine Erinnerung in Form einer Rechnung. Im Juni vorigen Jahres konnte die Sicherheitsfirma Checkpoint beispielsweise eine verwaiste Subdomain des Spieleherstellers Electronic Arts (EA) übernehmen.

Unter der Subdomain betrieben die Sicherheitsfirmen eine Phishingwebseite, in der signin.ea.com in einem Iframe eingebunden ist. Meldet sich ein Benutzer über diese Webseite an, konnten die Sicherheitsfirmen über mehrere Redirects das Zugangstoken an die Subdomain unter ihrer Kontrolle übergeben lassen und hatten somit Zugriff auf das SSO-Token eines Spielers - und damit über das EA-Konto des Spielers.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Wary 21. Feb 2020

Das steht im DNS. DNS ist sowas wie das Telefonbuch des Internets! Da kannst du für...

Wary 21. Feb 2020

Du machst es falsch! ; <<>> DiG 9.11.3-1ubuntu1.11-Ubuntu <<>> portal.ds.microsoft.com...

FreiGeistler 21. Feb 2020

"... 70%-80% der weltweiten Office-Nutzung..." Zwischen den Zeilen lesen!



Aktuell auf der Startseite von Golem.de
JPEG XL
Die Browserhersteller sagen nein zum Bildformat

JPEG XL ist das überlegene Bildformat. Aber Chrome und Firefox brechen die Implementierung ab. Wir erklären das Format und schauen auf die Gründe für die Ablehnung.
Eine Analyse von Boris Mayer

JPEG XL: Die Browserhersteller sagen nein zum Bildformat
Artikel
  1. Walking Simulator: Gameplay von The Day Before erntet Spott
    Walking Simulator
    Gameplay von The Day Before erntet Spott

    Nach Betrugsvorwürfen haben die Entwickler von The Day Before nun Gameplay veröffentlicht - das nicht besonders gut ankommt.

  2. Lasertechnik: Hoffnung auf Femtosekundenlaser für die Hosentasche
    Lasertechnik
    Hoffnung auf Femtosekundenlaser für die Hosentasche

    An der Universität Yale wurde ein Titan-Saphir-Laser auf einem Chip erzeugt und fortgeschrittene Lasertechnik auf Millimetergröße geschrumpft.

  3. Knockout City: Drei Games-as-a-Service weniger in einer Woche
    Knockout City
    Drei Games-as-a-Service weniger in einer Woche

    Rumbleverse, Apex Legends Mobile und Knockout City: Innerhalb weniger Tage heißt es Game Over für drei bekannte Multiplayerspiele.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • HTC Vice 2 Pro Full Kit 899€ • RAM-Tiefstpreise • Amazon-Geräte bis -50% • Samsung TVs bis 1.000€ Cashback • Corsair HS80 7.1-Headset -42% • PCGH Cyber Week • Samsung Curved 27" WQHD 267,89€ • Samsung Galaxy S23 vorbestellbar [Werbung]
    •  /