Subdomain Takeover: Sicherheitsfirmen übernehmen Subdomain von EA
Die Subdomain eaplayinvite.ea.com des Spieleherstellers Electronic Arts ist von Sicherheitsfirmen übernommen worden. Über einen weiteren Angriff konnten die Firmen auch an Nutzerdaten gelangen.
Eine verwaiste Subdomain des Spieleherstellers Electronic Arts (EA) konnte von den Sicherheitsfirmen Checkpoint und Cyberint übernommen werden - ein sogenannter Subdomain-Takeover. Mit der übernommenen Subdomain konnten die Sicherheitsfirmen mittels einer Phishingseite an die Zugangstokens der Spieler gelangen und so auf deren persönliche Daten zugreifen. Die Sicherheitslücken wurden laut Checkpoint mittlerweile behoben.
Webseiten und -dienste unter der eigenen Domain müssen nicht zwangsweise selbst betrieben werden, sondern lassen sich auch an Cloud-Dienste oder -Hoster auslagern. Genau das hatte Electronic Arts mit seiner Marketingwebseite eaplayinvite.ea.com gemacht, deren Inhalte auf Microsofts Cloud-Platform Azure gehostet wurden. Über einen CNAME-Eintrag im DNS leitete die EA-Subdomain im Hintergrund auf ea-invite-reg.azurewebsites.net um.
Der Spielehersteller löschte die Subdomain bei Azure, vergaß aber, auch den zugehörigen CNAME-Eintrag zu löschen. Die EA-Subdomain zeigte daher auf ein nicht mehr existierendes Azure-Konto. Genau dieses registrierten sich Checkpoint und Cyberint und konnten über die CNAME-Weiterleitung beliebige Inhalte unter der echten EA-Subdomain eaplayinvite.ea.com ausspielen.
Von der Subdomain zum Zugangstoken
Nachdem sie die Sudbomain übernommen hatten, untersuchten die Sicherheitsfirmen das Anmeldesystem von EA. Die Spieler müssen sich nur einmalig via Single Sign-on (SSO) bei EA mit ihren Zugangsdaten anmelden, um einen Zugriff auf alle EA-Seiten zu erhalten, ohne die Zugangsdaten erneut eingeben zu müssen. Hierzu wird ein SSO-Token generiert, mit dem sich die Spieler auf der jeweiligen Webseite authentifizieren. Über die Subdomain eaplayinvite.ea.com hatten die Sicherheitsfirmen theoretisch eine solche Webseite unter Kontrolle.
Unter der Subdomain betrieben die Sicherheitsfirmen eine Phishingwebseite, in der signin.ea.com in einem Iframe eingebunden ist. Meldet sich ein Benutzer über diese Webseite an, konnten die Sicherheitsfirmen über mehrere Redirects das Zugangstoken an die Subdomain unter ihrer Kontrolle übergeben lassen und hatten somit Zugriff auf das SSO-Token eines Spielers.
Angreifer hätten den so gewonnenen Zugangstoken nutzen können, um sich mit diesem bei EA anzumelden und die dort über den Spieler hinterlegten Daten einzusehen. Zudem hätten sie Spiele oder Accessoires auf Kosten des Konteneigentümers bestellen können.
Erst kürzlich konnte Golem.de durch einen Subdomain-Takeover bei Microsoft beliebige Informationen auf den Windows-Kacheln anzeigen. Im April ermöglichte eine Sicherheitslücke in der Windows-Version der Spieleplattform EA Origin das Ausführen von Programmen unter Windows - und konnte hierdurch auch Schadcode nachladen und ausführen. Hierzu musste ein Origin-Nutzer nur auf einen speziellen Link klicken.
Frage soweit, wenn Kundendaten bzw. hier auch zusätzlich eine Phishing Seite aufgezogen...