Haben Sie Ihre Subdomains noch unter Kontrolle?

Oder machen sich andere darauf breit? Switch warnt vor Sub-Domain-Hijacking.
 
Mächtige DDoS-Attacken, Ransomware à la NotPetya, Superbugs wie Meltdown und Spectre: Das sind die Cyberbedrohungen, die gegenwärtig viel Aufsehen erregen. Es gibt aber Gefahren, die vergleichsweise unbeachtet bleiben, aber trotzdem ernst genommen werden sollten, findet Switch. Zum Beispiel das sogenannte Subdomain-Hijacking.
 
Viele Unternehmen richten zu ihren Hauptdomains Subdomains ein, zum Beispiel zu Testzwecken oder um via die Subdomain – und oft nur für eine bestimmte Zeit – spezielle Funktionen und Services anzubieten. Eine Subdomain von inside-it.ch könnte beispielsweise newsletter.inside-it.ch sein. Viele Unternehmen haben Prozesse, durch die Angestellte solche Subdomains einrichten können, aber keine fixen Prozesse, um nicht mehr verwendete Hostnamen oder Subdomains zu entfernen, schreibt Switch-Mann Daniel Stirnimann in einem detaillierten Blogbeitrag zum Thema. Der Webserver wird wahrscheinlich abgeschaltet, führte sein Kollege Michael Hausding gegenüber inside-it.ch noch etwas näher aus, aber der entsprechende Eintrag im DNS Zone File einer Domain vergessen. Und dies birgt Gefahren: Er kenne "jede Menge" an Beispielen von gekaperten Subdomains auch in der Schweiz, sagt Hausding.
 
Eine Domain zu entführen kann zwar einem Angreifer auch mal gelingen, wird aber im Normalfall sehr schnell bemerkt, so Stirnimann. Wird aber eine vergessene Subdomain übernommen, kann das sehr lange unbemerkt bleiben. Die neuen "Besitzer" können dann beliebige Inhalte darauf schalten oder E-Mails mit der legitim scheinenden Subdomain als Absender verschicken. Je nach dem Vorhandensein und den genauen Einstellungen gewisser Sicherheitsstandards, die vom Domainbesitzer eingerichtet wurden, kann es sogar möglich sein, Mails mit dem Absender der Hauptdomain zu verschicken. Für Fachleute: Die Stichworte hier sind SPF, DKIM und DMARC. Stirnimann zeigt als Beispiel, wie man durch Übernahme der Subdomain bildung.deutsche-bank.de Mails mit dem Absender [email protected] verschicken könnte.
 
Die einfachste Möglichkeit, eine Subdomain zu übernehmen, besteht laut Stirnimann, wenn deren Eintrag im DNS Zone File durch eine Delegation oder ein CNAME-Alias auf einen weiteren, anderen Domainnamen zeigt. Aufgrund des Trends zum IT-Oursourcing ist dies gerade bei Grossunternehmen gang und gäbe, so Stirnimann. Wenn eine solche Drittdomain frei wird, können Angreifer sie problemlos auf sich registrieren lassen – und werden damit auch gleichzeitig Herr aller Subdomains, deren Zone-File-Einträge darauf zielen.
 
Bei grossen Unternehmen können Zone Files schnell einmal hunderte oder tausende Einträge enthalten und sind entsprechend unübersichtlich. Die Hauptbotschaft von Switch, so fasst Hausding zusammen, sei es, diese Files aber auf jeden Fall regelmässig zu pflegen und nach "toten" Hosts zu durchsuchen. Sein Kollege Stirnimann hat ein simples Script geschrieben und auf Github veröffentlicht, welches diese Aufgabe automatisieren kann. (Hans Jörg Maron)