Websicherheit: Verwaiste Domains als Sicherheitsrisiko

Domains von Webservices, die aufgegeben wurden, können ein Sicherheitsrisiko für Webseiten darstellen. Mittels einer nicht mehr genutzten Azure-Subdomain hätte der Autor des Artikels die Kontrolle über zahlreiche Webseiten erlangen können.

Artikel von Hanno Böck veröffentlicht am
Ein "freundliches Defacement", um auf ein Sicherheitsproblem aufmerksam zu machen
Ein "freundliches Defacement", um auf ein Sicherheitsproblem aufmerksam zu machen (Bild: Screenshot)

Im modernen Web ist es üblich, dass Inhalte von Dritten geladen werden. Ob man ein Youtube-Video einbindet, einen Facebook-Button nutzt oder ein Werbebanner einblendet - in all diesen Fällen wird üblicherweise Javascript-Code von Dritten geladen und im Kontext einer Webseite ausgeführt.

Stellenmarkt
  1. DevOps Engineer Schwerpunkt Microsoft Azure DevOps (m/w/d)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Software Test Engineer Buchhaltungssoftware (m/w/d)
    Haufe Group, Freiburg im Breisgau
Detailsuche

Doch was passiert eigentlich, wenn der Service, dessen Code hier geladen wird, den Dienst einstellt? Falls die genutzte Domain gekündigt wird, können Angreifer dies ausnutzen - und die verwaiste Domain einfach selbst registrieren. Damit können sie dann die Kontrolle über Webseiten übernehmen, die den entsprechenden Skript-Code einbinden.

Um einen Überblick über dieses Risiko zu bekommen, hat der Autor dieses Textes einen Scan der Alexa-Top-1-Million-Liste durchgeführt. Bei allen HTML-Tags mit src-Attribut wurde überprüft, ob sich die dort abgerufene Domain auflösen lässt.

Ein nicht aufgelöster Domainname ist alleine noch kein Sicherheitsrisiko, denn in vielen Fällen gehört die Domain noch dem ursprünglichen Besitzer, nur der jeweilige Service wurde eingestellt. Das führt dann lediglich dazu, dass der Seitenaufbau unnötigerweise geringfügig verzögert wird.

Flickr bindet Code von vor fünf Jahren eingestelltem Service ein

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Flickr, der Foto-Service von Yahoo, nutzte ein Skript von Yahoo Web Analytics. Der Yahoo-eigene Statistikservice wurde allerdings schon 2012 eingestellt, das Skript und die zugehörige Subdomain gibt es nicht mehr. Ganze fünf Jahre scheint davon bei Flickr niemand etwas mitbekommen zu haben. Da die zugehörige Domain weiter im Besitz von Yahoo war, handelte es sich aber wie erwähnt um kein Sicherheitsproblem.

Auf einer Reihe von Webseiten fand sich Code, der ein Skript von einer Subdomain namens piwiklionshare.azurewebsites.net einband - eine Subdomain des Microsoft-Cloud-Services Azure. Die Subdomain war bei Azure nicht registriert. Um Kontrolle über die Domain zu erlagen, reichte ein kostenloser Azure-Testaccount.

Ein Blick in die Logfiles verriet, dass circa 20 verschiedene Webseiten diesen Code nutzten. Bei allen handelte es sich um Lokalzeitungen aus den USA. Die meisten der betroffenen Webseiten befanden sich auf zwei benachbarten IPs. Das erleichterte es, die Betroffenen zu informieren. Zwar erhielt ich auf eine Mail mit einem Hinweis an die Betreiberfirma keine Antwort, der entsprechende Javascript-Code war aber kurz darauf von fast allen betroffenen Webseiten verschwunden.

Doch eine der betroffenen Webseiten - und zwar die mit den meisten Zugriffen - lieferte weiterhin Javascript-Code von der nun uns gehörenden Subdomain aus: Der Saline Courier, ebenfalls eine Lokalzeitung. Mehrere Versuche, die Zeitung selbst oder deren Redakteure darüber zu informieren, wurden ignoriert. Ein Dilemma, denn ewig würde ich die Subdomain natürlich nicht behalten und dafür bezahlen wollen. Doch sobald sich jemand anderes diese Domain greift, könnte das Ganze zu einem Sicherheitsrisiko für den Saline Courier und dessen Webseitenbesucher werden.

"Freundliches Defacement" zur Kontaktaufnahme

Doch ich hatte natürlich eine weitere Möglichkeit zur Kontaktaufnahme: Schließlich konnte ich Javascript-Code auf der betroffenen Webseite ausführen. Ich entschied mich also für ein "freundliches Defacement". Der Betrieb der Webseite wurde dabei nicht direkt gestört, mittels eines pinken Hintergrundes und einer gelben Infobox teilte ich den Besuchern der Webseite mit, dass hier ein Sicherheitsrisiko besteht und der Betreiber der Webseite den entsprechenden Javascript-Code entfernen sollte.

Das führte wohl zu einigen Panikreaktionen bei den technisch Verantwortlichen. Kurze Zeit später war das CSS der Webseite defekt und das Layout zerstört. Danach zeigte die Seite für einige Zeit nur eine PHP-Fehlermeldung, nur um kurz darauf wieder im ursprünglichen Zustand - samt meinem eingebundenen Javascript - zu erscheinen. Doch nach einigen Stunden war die Seite wieder normal erreichbar und der fragliche Javascript-Code entfernt.

Die meistbesuchte betroffene Seite hat das Problem damit behoben, doch weiterhin wird der entsprechende Javascript-Code regelmäßig abgerufen. Überzeugen kann man sich davon etwa auf der Webseite des Columbia Missourian - jeder Artikel dort hat einen Link "Report an error", hinter dem sich ein Formular verbirgt, das den fraglichen Javascript-Code nach wie vor einbindet. Trotz einer sehr penetranten Warnung, der ich inzwischen auch etwas Sound hinzugefügt habe, hat dort nach mehreren Wochen niemand reagiert.

Verwaiste Domains werden meist schnell wieder registriert

Es spricht einiges dafür, dass die von uns gefundenen Beispiele nur die Spitze des Eisbergs eines größeren Problems sind. Denn wenn Domains gekündigt werden dauert es meist nicht lange, bis jemand anderes versucht, die Domains umgehend wieder zu registrieren.

Ein Angreifer, der versucht, die Kontrolle über möglichst viele Webseiten zu erlangen, könnte gezielt nach Domains suchen, deren Javascript-Code von vielen Seiten eingebunden wird und die gekündigt werden.

So gibt es beispielsweise eine Reihe von Seiten, die den Code eines Statistikservices namens Compete einbinden. Die entsprechende Subdomain existiert nicht mehr, auf der Hauptdomain compete.com findet sich eine Meldung, dass der Service 2016 seinen Dienst eingestellt hat. Vermutlich wird die Domain irgendwann gekündigt oder verkauft. Wer auch immer sie danach besitzt, hat die Möglichkeit, die Kontrolle über zahlreiche Webseiten zu übernehmen.

Hostile Subdomain Takeover und andere Angriffsszenarien

Die beschriebenen Szenarien ähneln anderen Domain-Takeover-Angriffen, die in jüngerer Zeit beschrieben wurden. Unter dem Namen Hostlile Subdomain Takeover wird ein Szenario bezeichnet, bei dem Firmen mittels DNS-CNAME-Einträgen die Verwaltung einer Subdomain an einen externen Service auslagern. Beispiele dafür sind etwa Github oder Heroku.

Wird ein entsprechender CNAME-Eintrag angelegt und der Service anschließend wieder gekündigt - ohne dass der zugehörige CNAME gelöscht wird -, kann jeder die entsprechende Subdomain bei Github oder Heroku registrieren und den Inhalt kontrollieren. Ähnliches gilt wenn der CNAME auf eine Domain verweist, die gekündigt wurde.

Das Szenario mag etwas abstrakt klingen, aber es tauchen immer wieder derartige Lücken auf. So fand ein Sicherheitsforscher beispielsweise zahlreiche Subdomains von Mozilla-Domains, die er mittels Github übernehmen konnte.

Code einbinden: Auch eine Frage des Vertrauens

Generell sollte man sich immer im Klaren darüber sein, dass das Einbinden von externem Javascript-Code oder auch das Abgeben der Kontrolle über einzelne Subdomains ein Sicherheitsrisiko darstellen kann. Wer Code von Dritten einbindet, muss diesen insoweit vertrauen, dass diese das nicht ausnutzen, um die Webseite zu verändern, Malware auszuliefern oder in sonstiger Weise diese Möglichkeit mißbrauchen.

Webmaster sollten zumindest darüber Bescheid wissen, wem sie erlauben, Code in der eigenen Webseite auszuführen. Und wenn der entsprechende Service eingestellt wird, sollte man den Code umgehend entfernen.

Eine englischsprachige Beschreibung dieser Sicherheitslücke findet sich im Blog des Autors.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Oberleitungs-Lkw
Herr Gramkow will möglichst weit elektrisch fahren

Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
Ein Bericht von Werner Pluta

Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
Artikel
  1. Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
    Star Trek
    Playmobil bringt 1 Meter langes Enterprise-Spielset

    Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

  2. Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
    Razer Blade 14 im Test
    Der dreifach einzigartige Ryzen-Laptop

    Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
    Ein Test von Marc Sauter

  3. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

chefin 11. Sep 2017

Passt genauso wenig Materielle Dinge reagieren nunmal anders als Immaterielle. Und genau...

serra.avatar 09. Sep 2017

... sich ganz einfach beheben: Macht die Seitenbetreiber endlich vollumfänglich haftbar...

ldlx 07. Sep 2017

wie soll ein Browser zwischen "gewollten" iFrames mit Inhalt und einem Werbe-iFrame...

phade 07. Sep 2017

Insbesondere gehen cnobi-Domains ja in eine redemption Period, bevor die wieder verfügbar...

Proctrap 07. Sep 2017

lustig wäre eher wenn es deswegen auf der blocklist gelandet wäre


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Enermax ETS-F40-FS ARGB 32,99€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals • Ebay: 10% auf Gaming-Produkte [Werbung]
    •  /