Abo
  • IT-Karriere:

Subdomain Takeover: Sicherheitsfirmen übernehmen Subdomain von EA

Die Subdomain eaplayinvite.ea.com des Spieleherstellers Electronic Arts ist von Sicherheitsfirmen übernommen worden. Über einen weiteren Angriff konnten die Firmen auch an Nutzerdaten gelangen.

Artikel veröffentlicht am ,
Hat nicht gut auf seine Subdomain aufgepasst: Electronic Arts
Hat nicht gut auf seine Subdomain aufgepasst: Electronic Arts (Bild: Paul Downey/CC-BY 2.0)

Eine verwaiste Subdomain des Spieleherstellers Electronic Arts (EA) konnte von den Sicherheitsfirmen Checkpoint und Cyberint übernommen werden - ein sogenannter Subdomain-Takeover. Mit der übernommenen Subdomain konnten die Sicherheitsfirmen mittels einer Phishingseite an die Zugangstokens der Spieler gelangen und so auf deren persönliche Daten zugreifen. Die Sicherheitslücken wurden laut Checkpoint mittlerweile behoben.

Stellenmarkt
  1. Blickle Räder+Rollen GmbH u. Co. KG, Rosenfeld
  2. Hays AG, Hamburg

Webseiten und -dienste unter der eigenen Domain müssen nicht zwangsweise selbst betrieben werden, sondern lassen sich auch an Cloud-Dienste oder -Hoster auslagern. Genau das hatte Electronic Arts mit seiner Marketingwebseite eaplayinvite.ea.com gemacht, deren Inhalte auf Microsofts Cloud-Platform Azure gehostet wurden. Über einen CNAME-Eintrag im DNS leitete die EA-Subdomain im Hintergrund auf ea-invite-reg.azurewebsites.net um.

Der Spielehersteller löschte die Subdomain bei Azure, vergaß aber, auch den zugehörigen CNAME-Eintrag zu löschen. Die EA-Subdomain zeigte daher auf ein nicht mehr existierendes Azure-Konto. Genau dieses registrierten sich Checkpoint und Cyberint und konnten über die CNAME-Weiterleitung beliebige Inhalte unter der echten EA-Subdomain eaplayinvite.ea.com ausspielen.

Von der Subdomain zum Zugangstoken

Nachdem sie die Sudbomain übernommen hatten, untersuchten die Sicherheitsfirmen das Anmeldesystem von EA. Die Spieler müssen sich nur einmalig via Single Sign-on (SSO) bei EA mit ihren Zugangsdaten anmelden, um einen Zugriff auf alle EA-Seiten zu erhalten, ohne die Zugangsdaten erneut eingeben zu müssen. Hierzu wird ein SSO-Token generiert, mit dem sich die Spieler auf der jeweiligen Webseite authentifizieren. Über die Subdomain eaplayinvite.ea.com hatten die Sicherheitsfirmen theoretisch eine solche Webseite unter Kontrolle.

Unter der Subdomain betrieben die Sicherheitsfirmen eine Phishingwebseite, in der signin.ea.com in einem Iframe eingebunden ist. Meldet sich ein Benutzer über diese Webseite an, konnten die Sicherheitsfirmen über mehrere Redirects das Zugangstoken an die Subdomain unter ihrer Kontrolle übergeben lassen und hatten somit Zugriff auf das SSO-Token eines Spielers.

Angreifer hätten den so gewonnenen Zugangstoken nutzen können, um sich mit diesem bei EA anzumelden und die dort über den Spieler hinterlegten Daten einzusehen. Zudem hätten sie Spiele oder Accessoires auf Kosten des Konteneigentümers bestellen können.

Erst kürzlich konnte Golem.de durch einen Subdomain-Takeover bei Microsoft beliebige Informationen auf den Windows-Kacheln anzeigen. Im April ermöglichte eine Sicherheitslücke in der Windows-Version der Spieleplattform EA Origin das Ausführen von Programmen unter Windows - und konnte hierdurch auch Schadcode nachladen und ausführen. Hierzu musste ein Origin-Nutzer nur auf einen speziellen Link klicken.



Anzeige
Top-Angebote
  1. (u. a. GTA 5 12,49€, GTA Online Cash Card 1,79€)
  2. (aktuell u. a. Dell-Notebook 519€, Dell USB-DVD-Brenner 34,99€)
  3. 88,00€
  4. 107,00€ (Bestpreis!)

User_x 26. Jun 2019 / Themenstart

Frage soweit, wenn Kundendaten bzw. hier auch zusätzlich eine Phishing Seite aufgezogen...

Kommentieren


Folgen Sie uns
       


Backup per Band angesehen

Das Rattern des Roboterarms und Rauschen der Klimaanlage: Golem.de hat sich Bandlaufwerke in Aktion beim Geoforschungszentrum Potsdam angeschaut. Das Ziel: zu erfahren, was die 60 Jahre alte Technik noch immer sinnvoll macht.

Backup per Band angesehen Video aufrufen
Projektorkauf: Lumen, ANSI und mehr
Projektorkauf
Lumen, ANSI und mehr

Gerade bei Projektoren werden auf Plattformen verschiedener Onlinehändler kuriose Angaben zur Helligkeit beziehungsweise Leuchtstärke gemacht - sofern diese überhaupt angegeben werden. Wir bringen etwas Licht ins Dunkel und beschäftigen uns mit Einheiten rund um das Thema Helligkeit.
Von Mike Wobker


    In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
    In eigener Sache
    Neue Workshops zu agilem Arbeiten und Selbstmanagement

    Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

    1. In eigener Sache ITler und Board kommen zusammen
    2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
    3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

    FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
    FPM-Sicherheitslücke
    Daten exfiltrieren mit Facebooks HHVM

    Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
    Eine Exklusivmeldung von Hanno Böck

    1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

      •  /