{"id":2177,"date":"2023-08-30T08:45:00","date_gmt":"2023-08-30T06:45:00","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=2177"},"modified":"2023-09-14T08:08:06","modified_gmt":"2023-09-14T06:08:06","slug":"subdomain-hijacking-2","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/subdomain-hijacking-2\/","title":{"rendered":"Tausende Organisationen verwundbar auf Subdomain Hijacking"},"content":{"rendered":"\n

Subdomain-Hijacking stellt ein besorgniserregendes Szenario dar, bei dem Angreifer die Kontrolle \u00fcber Websites \u00fcbernehmen, die auf Subdomains seri\u00f6ser Organisationen gehostet werden. Dies erm\u00f6glicht Angreifern zum Beispiel die Verbreitung von Schadsoftware und Desinformationen oder die Durchf\u00fchrung Phishing-Angriffen. Der rasante Anstieg derartiger Bedrohungsszenarien sowie die immer intensivere Nutzung von Cloud-Diensten verst\u00e4rkt das Ausma\u00df dieser Schwachstelle.<\/p>\n\n\n\n

Die Auswirkungen von Subdomain Hijacking sind weitreichend und umfassen ein Spektrum potenzieller Angriffe:<\/p>\n\n\n\n

Malware-Verteilung<\/strong>: Angreifer k\u00f6nnen die Subdomain als Hosting-Plattform f\u00fcr die Verbreitung sch\u00e4dlicher Software nutzen.
Verbreitung von Desinformation<\/strong>: B\u00f6swillige Akteure nutzen die Glaubw\u00fcrdigkeit seri\u00f6ser Unternehmen wie Medien, Regierungsbeh\u00f6rden oder Universit\u00e4ten aus und nutzen Subdomains zur Verbreitung falscher Informationen. Dies untergr\u00e4bt das Vertrauen der \u00d6ffentlichkeit in verl\u00e4ssliche Quellen, f\u00f6rdert Desinformationskampagnen, die die \u00f6ffentliche Meinung manipulieren, und destabilisiert Gemeinschaften und Gesellschaften.
Phishing-Angriffe<\/strong>: Angreifer k\u00f6nnen mithilfe der Subdomain \u00fcberzeugende Phishing-Seiten erstellen, um ahnungslose Benutzer dazu zu verleiten, vertrauliche Informationen preiszugeben.
Social-Engineering-Angriffe<\/strong>: Die Subdomain kann als Ausgangspunkt f\u00fcr \u00fcberzeugende Social-Engineering-Kampagnen dienen, bei denen Einzelpersonen dazu manipuliert werden, vertrauliche Daten preiszugeben oder sich an sch\u00e4dlichen Aktivit\u00e4ten zu beteiligen.<\/p>\n\n\n\n

Um potenziellen Angriffen vorzubeugen und das \u00f6ffentliche Bewusstsein f\u00fcr diese weit verbreitete Sicherheitsl\u00fccke zu sch\u00e4rfen, haben wir proaktiv die Kontrolle \u00fcber Websites besonders anf\u00e4lliger Organisationen \u00fcbernommen und sie dar\u00fcber informiert.<\/p>\n\n\n\n

Betroffen sind Regierungen, Parteien, Universit\u00e4ten und Medien<\/h2>\n\n\n\n

Wir haben auf WordPress.com gehostete Blogs f\u00fcr das australische Ministerium f\u00fcr ausw\u00e4rtige Angelegenheiten und Handel (https:\/\/blog.dfat.gov.au<\/a>), des UK Meteorological Office (https:\/\/blog.theukmetoffice.gov.uk<\/a>), der US Bundesstaaten Rhode Island (https:\/\/blog.health.ri.gov<\/a>) und Nebraska (https:\/\/test.ne.gov<\/a>) sowie der US Bank Varobank (https:\/\/blog.varobank.com<\/a>) \u00fcbernommen und somit gesch\u00fctzt.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Auch AWS S3 Buckets, auf die durch DNS-Eintr\u00e4ge der deutschen Versicherungstochter der Ergo Group Nexible (http:\/\/s3.nexible.de\/index.html<\/a>) und des in Deutschland ans\u00e4ssigen Tabakkonzern Dannemann (http:\/\/img.dannemann.com\/index.html<\/a>) verwiesen wird wurden durch Certitude Consulting reserviert. Au\u00dferdem wurden auf der Plattform Buzzsprout gehostete Podcasts der FP\u00d6 (https:\/\/podcast.fpoe.at<\/a>), des Nasdaq-gelisteten Technologieunternehmens Netscout Systems (https:\/\/podcast.netscout.com<\/a>) und des US Versicherungsunternehmens Penn Mutual (https:\/\/podcast.pennmutual.com\/<\/a>) \u00fcbernommen. Die Situation wird noch besorgniserregender, da f\u00fcr Plattformen wie WordPress oder Buzzsprout g\u00fcltige TLS-Zertifikate ausgestellt werden. Dieser Aspekt verst\u00e4rkt die Illusion der Legitimit\u00e4t von Inhalten noch weiter und macht die potenziellen Bedrohungen noch schwieriger zu erkennen.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ein \u00e4hnlicher Ansatz erm\u00f6glichte die erzwungene Umleitung von Subdomains. Allerdings wird in diesem Fall kein g\u00fcltiges TLS-Zertifikat ausgestellt. Auf diese Weise haben wir die Kontrolle \u00fcber Websites des Nachrichtensenders CNN \u00fcbernommen (http:\/\/insession.blogs.fortune.cnn.com<\/a>), der Regierung der kanadischen Provinz Neufundland und Labrador (http:\/\/atippblog.gov.nl.ca<\/a>), der internationalen NGO Caritas (http:\/\/blog.caritas.org<\/a>), der US Bank Bankfive (http:\/\/blog.bankfive.com<\/a>), der University of California (http:\/\/blog.admission.ucla.edu<\/a>), der University of Pennsylvania (http:\/\/blog.wic.library.upenn.edu<\/a>) sowie der Stanford University (http:\/\/shaqfehgroup.stanford.edu<\/a>) und haben sie auf einen neu erstellen WordPress-Blog umgeleitet (http:\/\/subdomainhijackingblog.wordpress.com<\/a>).<\/p>\n\n\n\n

Erl\u00e4uterung von Subdomain-Hijacking<\/h2>\n\n\n\n

Das Domain Name System (DNS) fungiert als hierarchisches und verteiltes Benennungssystem f\u00fcr Online-Ressourcen wie Server und Dienste. Wenn sich eine Organisation f\u00fcr einen Cloud-Dienst entscheidet, erstellt sie ein Konto innerhalb des Dienstes, konfiguriert die Cloud-Ressourcen entsprechend des eigenen Bedarfs und verkn\u00fcpft anschlie\u00dfend den Cloud-Dienst durch Setzen der DNS-Eintr\u00e4ge auf ihren eigenen DNS-Servern:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Wird der Cloud-Dienst jedoch zu einem sp\u00e4teren Zeitpunkt nicht mehr verwendet (aufgrund der K\u00fcndigung des Abonnements oder der Nichtzahlung des Dienstes), verweisen die DNS-Eintr\u00e4ge weiterhin auf die nicht vorhandene Cloud-Ressource, wodurch ein sogenannter \u201edangling\u201c DNS-Eintrag entsteht:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Wenn Cloud-Dienstanbieter keine spezifischen Gegenma\u00dfnahmen ergreifen, k\u00f6nnten unbefugte Angreifer ein Konto auf der Cloud-Plattform registrieren und es mit den freien DNS-Eintr\u00e4gen verkn\u00fcpfen. Da die DNS-Eintr\u00e4ge der Organisation immer noch auf den Endpunkt der Cloud-Plattform verweisen, \u00fcbernimmt der Angreifer effektiv die Kontrolle \u00fcber die Subdomain, was als \u201eSubdomain-Hijacking\u201c oder \u201eSubdomain-Takeover\u201c bezeichnet wird:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Wie kann Subdomain Hijacking verhindert werden?<\/h2>\n\n\n\n

Certitude Consulting empfiehlt allen Organisationen ihre DNS-Eintr\u00e4ge regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen und Cloud-Ressourcen erst zu deaktivieren, nachdem die zugeh\u00f6rigen DNS-Eintr\u00e4ge entfernt wurden.<\/p>\n\n\n\n

In den meisten F\u00e4llen k\u00f6nnte die \u00dcbernahme von Subdomains durch Cloud-Dienste effektiv verhindert werden, indem der Domain-Inhaber durch den Cloud-Provider \u00fcberpr\u00fcft und zuvor verwendete Identifikatoren nicht sofort zur Registrierung freigegeben werden. Daher fordert Certitude Consulting auch Cloud-Service-Anbieter dazu auf, solche Schutzmechanismen zu implementieren. Microsoft hat dies vor einigen Monaten f\u00fcr Azure Storage-Konten implementiert. Andere Anbieter, wie zum Beispiel Amazon Web Services, haben solche Mechanismen noch nicht umgesetzt.<\/p>\n\n\n\n

Research Methoden und Ver\u00f6ffentlichung<\/h2>\n\n\n\n

Die Enumeration-Methoden f\u00fcr “dangling” DNS-Eintr\u00e4ge oder Details zu Schwachstellen, die w\u00e4hrend dieser Untersuchung identifiziert wurden, werden zu diesem Zeitpunkt nicht ver\u00f6ffentlicht. Alle in diesem Beitrag erw\u00e4hnten Organisationen wurden betreffend ihren “dangling” DNS-Records kontaktiert. Es war nicht m\u00f6glich alle >1.000 Organisationen zu informieren. Diesbez\u00fcgliche Koordination mit dem \u00f6sterreichischen CERT ist im Gange.<\/p>\n\n\n\n

Referenzen<\/h2>\n\n\n\n

Archivierte URLs:
https:\/\/web.archive.org\/web\/20230829125434\/https:\/\/blog.dfat.gov.au\/<\/a>
https:\/\/web.archive.org\/web\/20230830055441\/https:\/\/blog.theukmetoffice.gov.uk\/<\/a>
https:\/\/web.archive.org\/web\/20230830055450\/https:\/\/blog.health.ri.gov\/<\/a>
https:\/\/web.archive.org\/web\/20230830055510\/https:\/\/test.ne.gov\/<\/a>
https:\/\/web.archive.org\/web\/20230830055605\/https:\/\/blog.varobank.com\/<\/a>
https:\/\/web.archive.org\/web\/20230830055650\/https:\/\/podcast.fpoe.at\/2158749\/13491196-security-awareness-notice<\/a>
https:\/\/web.archive.org\/web\/20230830055750\/https:\/\/podcast.netscout.com\/2235256\/13491204-security-awareness-notice<\/a>
https:\/\/web.archive.org\/web\/20230830060251\/https:\/\/podcast.pennmutual.com\/2235346\/13491211-security-awareness-notice<\/a>
https:\/\/web.archive.org\/web\/20230830055940\/http:\/\/s3.nexible.de\/index.html<\/a>
https:\/\/web.archive.org\/web\/20230830060404\/http:\/\/img.dannemann.com\/index.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Subdomain-Hijacking stellt ein besorgniserregendes Szenario dar, bei dem Angreifer die Kontrolle \u00fcber Websites \u00fcbernehmen, die auf Subdomains seri\u00f6ser Organisationen gehostet werden. Dies erm\u00f6glicht Angreifern zum Beispiel die Verbreitung von Schadsoftware und Desinformationen oder die Durchf\u00fchrung Phishing-Angriffen. Der rasante Anstieg derartiger Bedrohungsszenarien sowie die immer intensivere Nutzung von Cloud-Diensten verst\u00e4rkt das Ausma\u00df dieser Schwachstelle. Die Auswirkungen […]<\/p>\n","protected":false},"author":15,"featured_media":2182,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[78,63],"tags":[],"class_list":["post-2177","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-schwachstellen-research","category-technische-analyse"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2177","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=2177"}],"version-history":[{"count":12,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2177\/revisions"}],"predecessor-version":[{"id":2265,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2177\/revisions\/2265"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/2182"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=2177"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=2177"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=2177"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}