DNS-Cloud-Services übernehmen

Eine Besonderheit im Cloud-Business sind DNS-Services, wie sie von Route 53 (Amazon), Rackspace oder Digital Ocean angeboten werden. Auch hier können verwaiste Domains übernommen werden, allerdings nicht nur ein CNAME-Eintrag einer Subdomain, sondern der komplette DNS.

Eine verwaiste Route-53-Domain findet man durch herkömmliche DNS-Abfragen. Diese müssen einen "SERVFAIL" ausgeben und die Nameserver von Route 53 verwenden. Will man die Domain übernehmen, legt man mittels eines AWS-Accounts (Amazon Web Services) DNS-Zonen mit den gleichen vier Nameservern an, die auch im DNS hinterlegt sind. Die vier Nameserver können dabei über verschiedene Zonen verteilt und mit falschen Nameservern kombiniert sein. Anschließend kann der DNS der Domain übernommen und es können beliebige DNS-Records angelegt werden.

Der Sicherheitsforscher und Bug-Bounty-Jäger Matthew Bryant konnte mit dieser Technik 120.000 gefährdete Domains bei Route 53, Google Cloud, Rackspace und Digital Ocean nachweisen.

Subdomain Takeover bietet viele Angriffsmöglichkeiten

Manchmal reicht den Hackern aber auch das einfache Trollen. So geschehen mit der übernommenen Subdomain secure2.donaldjtrump.com des US-Präsidenten, auf der ein irakischer Hacker einen "Gruß" hinterließ.

Möglich ist auch das Einbinden von Scareware, Mining- oder Schadsoftware. Sie kann sich auch auf andere Webseiten ausbreiten, wenn alte, verwaiste Einbindungen wiederbelebt werden. Wurde beispielsweise ein Skript von shop.ecorp-germany.de unter ecorp-germany.de eingebunden, die Einbindung aber nie aus der Webseite entfernt, kann sie vom neuen Subdomain-Betreiber wiederbelebt werden. Anstelle des ursprünglichen Skripts kann Schadsoftware platziert werden, die auf der Hauptdomain eingebunden und ausgeführt wird.

Die praktische Relevanz dieses Szenarios konnte der Sicherheitsforscher und Golem.de-Autor Hanno Böck im vergangenen Jahr zeigen. Er fand unter anderem verwaiste Yahoo-Analytics-Einbindungen auf Flickr. Yahoo Analytics war bereits 2012 eingestellt worden. Er konnte zudem eine Azure-Subdomain übernehmen, die in mehrere Webseiten eingebunden war. Auf diesen konnte er durch die reaktivierten Einbindungen Veränderungen vornehmen - unter anderem die Hintergrundfarbe der Webseite einer Lokalzeitung auf Pink setzen.

Noch drastischer ist die Möglichkeit, Cookies von der Hauptdomain oder anderen Subdomains abzugreifen. Die Cookies sind zwar zwischen unterschiedlichen Subdomains und Domains getrennt (same-origin policy5), allerdings teilen viele Domains Cookies mit ihren Subdomains. So werden beispielsweise Single-Sign-On-Dienste (SSO) über Subdomains realisiert. Sowohl beim Netzwerkausrüster Ubiquiti als auch bei Uber konnten mittels Subdomain Takeover Session-Cookies abgegriffen und damit Sessions übernommen werden.

Wie schütze ich mich gegen Subdomain Takeover?

Ein offensichtlicher Schutz gegen Subdomain Takeover ist das Löschen der DNS-Einträge, bevor die Seite bei einem Cloud-Provider offline genommen wird. Umgekehrt sollten DNS-Einträge erst erstellt werden, wenn man die entsprechenden Services beim Anbieter registriert hat. Dennoch sollten die DNS-Einträge regelmäßig gesichtet werden, um Gefährdungen möglichst schnell zu beseitigen. Noch sicherer ist es natürlich, keine externen Services einzubinden, was man sich im Selbsthosting allerdings mit weiterer zu pflegender Software erkauft.

Noch ist es bei vielen Cloud-Providern viel zu einfach, Subdomains zu übernehmen. Bei Shopify muss man sich nur registrieren und die verwaiste Domain beanspruchen. Bei AWS ist es etwas komplizierter, aber auch relativ problemlos möglich. Würden die Anbieter vor der Freischaltung von Subdomains prüfen, ob sie bereits im CNAME- oder Nameserver-Eintrag stehen und in diesem Fall den bereits hinterlegten Server nicht mehr akzeptieren, sondern eine Serveränderung verlangen, wäre das Übernehmen von Subdomains nicht mehr ohne weiteres möglich.

Alternativ kann die Domain verifiziert werden. Gitlab8 hat das beispielsweise über einen TXT-Eintrag im DNS realisiert. Manchmal kann Sicherheit so einfach sein.