DNS-Cloud-Services übernehmen

Eine Besonderheit im Cloud-Business sind DNS-Services, wie sie von Route 53 (Amazon), Rackspace oder Digital Ocean angeboten werden. Auch hier können verwaiste Domains übernommen werden, allerdings nicht nur ein CNAME-Eintrag einer Subdomain, sondern der komplette DNS.

Stellenmarkt
  1. Junior Projektmanager (m/w/d)
    Bildungsinnovator, Düsseldorf
  2. Teamleiter (m/w/d) Systemadministration
    BRUDER Spielwaren GmbH + Co. KG, Fürth bei Nürnberg
Detailsuche

Eine verwaiste Route-53-Domain findet man durch herkömmliche DNS-Abfragen. Diese müssen einen "SERVFAIL" ausgeben und die Nameserver von Route 53 verwenden. Will man die Domain übernehmen, legt man mittels eines AWS-Accounts (Amazon Web Services) DNS-Zonen mit den gleichen vier Nameservern an, die auch im DNS hinterlegt sind. Die vier Nameserver können dabei über verschiedene Zonen verteilt und mit falschen Nameservern kombiniert sein. Anschließend kann der DNS der Domain übernommen und es können beliebige DNS-Records angelegt werden.

Der Sicherheitsforscher und Bug-Bounty-Jäger Matthew Bryant konnte mit dieser Technik 120.000 gefährdete Domains bei Route 53, Google Cloud, Rackspace und Digital Ocean nachweisen.

Subdomain Takeover bietet viele Angriffsmöglichkeiten

Manchmal reicht den Hackern aber auch das einfache Trollen. So geschehen mit der übernommenen Subdomain secure2.donaldjtrump.com des US-Präsidenten, auf der ein irakischer Hacker einen "Gruß" hinterließ.

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    13.–17. Dezember 2021, virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
    6.–10. Dezember 2021, Virtuell
Weitere IT-Trainings

Möglich ist auch das Einbinden von Scareware, Mining- oder Schadsoftware. Sie kann sich auch auf andere Webseiten ausbreiten, wenn alte, verwaiste Einbindungen wiederbelebt werden. Wurde beispielsweise ein Skript von shop.ecorp-germany.de unter ecorp-germany.de eingebunden, die Einbindung aber nie aus der Webseite entfernt, kann sie vom neuen Subdomain-Betreiber wiederbelebt werden. Anstelle des ursprünglichen Skripts kann Schadsoftware platziert werden, die auf der Hauptdomain eingebunden und ausgeführt wird.

Die praktische Relevanz dieses Szenarios konnte der Sicherheitsforscher und Golem.de-Autor Hanno Böck im vergangenen Jahr zeigen. Er fand unter anderem verwaiste Yahoo-Analytics-Einbindungen auf Flickr. Yahoo Analytics war bereits 2012 eingestellt worden. Er konnte zudem eine Azure-Subdomain übernehmen, die in mehrere Webseiten eingebunden war. Auf diesen konnte er durch die reaktivierten Einbindungen Veränderungen vornehmen - unter anderem die Hintergrundfarbe der Webseite einer Lokalzeitung auf Pink setzen.

Noch drastischer ist die Möglichkeit, Cookies von der Hauptdomain oder anderen Subdomains abzugreifen. Die Cookies sind zwar zwischen unterschiedlichen Subdomains und Domains getrennt (same-origin policy5), allerdings teilen viele Domains Cookies mit ihren Subdomains. So werden beispielsweise Single-Sign-On-Dienste (SSO) über Subdomains realisiert. Sowohl beim Netzwerkausrüster Ubiquiti als auch bei Uber konnten mittels Subdomain Takeover Session-Cookies abgegriffen und damit Sessions übernommen werden.

Wie schütze ich mich gegen Subdomain Takeover?

Ein offensichtlicher Schutz gegen Subdomain Takeover ist das Löschen der DNS-Einträge, bevor die Seite bei einem Cloud-Provider offline genommen wird. Umgekehrt sollten DNS-Einträge erst erstellt werden, wenn man die entsprechenden Services beim Anbieter registriert hat. Dennoch sollten die DNS-Einträge regelmäßig gesichtet werden, um Gefährdungen möglichst schnell zu beseitigen. Noch sicherer ist es natürlich, keine externen Services einzubinden, was man sich im Selbsthosting allerdings mit weiterer zu pflegender Software erkauft.

Noch ist es bei vielen Cloud-Providern viel zu einfach, Subdomains zu übernehmen. Bei Shopify muss man sich nur registrieren und die verwaiste Domain beanspruchen. Bei AWS ist es etwas komplizierter, aber auch relativ problemlos möglich. Würden die Anbieter vor der Freischaltung von Subdomains prüfen, ob sie bereits im CNAME- oder Nameserver-Eintrag stehen und in diesem Fall den bereits hinterlegten Server nicht mehr akzeptieren, sondern eine Serveränderung verlangen, wäre das Übernehmen von Subdomains nicht mehr ohne weiteres möglich.

Alternativ kann die Domain verifiziert werden. Gitlab8 hat das beispielsweise über einen TXT-Eintrag im DNS realisiert. Manchmal kann Sicherheit so einfach sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Subdomain Takeover: Verwaiste Domains einfach übernehmen
  1.  
  2. 1
  3. 2


robinx999 29. Jul 2018

Er kündigt die Domäne nicht weil die Domäne weiter läuft. Sagen wir mal ganz klassisch...

robinx999 29. Jul 2018

Das gibt doch dann auch wieder Probleme wenn der Cname nicht ordentlich verbreitet wird...

nobs 28. Jul 2018

OK, ich kann mir also z.B. 'mueller.webex.com' einfach so ziehen um die Kunden von...

Sam Moon 25. Jul 2018

Daumen länger als beinah alle anderen Finger, Zeigfinger = kleiner Finger an falscher...



Aktuell auf der Startseite von Golem.de
Pornhub, Youporn, Mydirtyhobby
Gericht bestätigt Zugangsverbot für Pornoportale

Die Landesmedienanstalt NRW hat zu Recht gegen drei Pornoportale mit Sitz in Zypern ein Zugangsverbot verhängt.

Pornhub, Youporn, Mydirtyhobby: Gericht bestätigt Zugangsverbot für Pornoportale
Artikel
  1. Zip: Ratenzahlung in Microsoft Edge empört die Community
    Zip
    Ratenzahlung in Microsoft Edge empört die Community

    Die App Zip wird seit Microsoft Edge 96 standardmäßig aktiviert. Diese bietet Ratenzahlung an, schürt aber nur Hass in der Community.

  2. Kompakter Einstieg in die Netzwerktechnik
     
    Kompakter Einstieg in die Netzwerktechnik

    Die Golem Akademie bietet Admins und IT-Sicherheitsbeauftragten in einem Fünf-Tage-Workshop einen umfassenden Überblick über Netzwerktechnologien und -konzepte.
    Sponsored Post von Golem Akademie

  3. Razer Zephyr im Test: Gesichtsmaske mit Stil bringt nicht viel
    Razer Zephyr im Test
    Gesichtsmaske mit Stil bringt nicht viel

    Einmal Cyberpunk mit Beleuchtung bitte: Tragen wir Razers Zephyr in der U-Bahn, fallen wir auf. Allerdings ist das Produkt nicht ausgereift.
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote bei Amazon • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit DDR4-3600 73,99€) • HP 27" FHD 165Hz 199,90€ • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn (u. a. Surface Pro 7+ 849€) • Alternate (u. a. Adata 1TB PCIe-4.0-SSD für 129,90€) [Werbung]
    •  /