Wiener Sicherheitsforscher übernehmen Websites

Certitude Consulting warnt vor Desinformations- und Phishingkampagnen durch verwaiste DNS-Einträge. Auch FPÖ, CNN und Stanford University betroffen.

Das auf IT-Sicherheit spezialisierte Wiener Beratungsunternehmen Certitude Consulting warnt vor Desinformations- und Phishingkampagnen. Verwaiste DNS-Einträge sollen es Angreifern ermöglichen, auf Subdomains gehostete Websites von renommierten Organisationen zu kapern („Subdomain Hijacking“) und damit Schadsoftware und Falschinformationen in fremdem Namen zu verbreiten. Auch das Stehlen von Zugangsdaten werde dadurch erleichtert.

Insgesamt konnte Certitude Consulting mehr als 1.000 von der Schwachstelle betroffene Organisationen identifizieren. „Und das ist nur die Spitze des Eisbergs”, unterstreicht Marc Nimmerrichter, geschäftsführender Gesellschafter von Certitude Consulting.

Um Angriffe zu verhindern und die Öffentlichkeit vor dieser weit verbreiteten Schwachstelle zu warnen, hat der Security-Dienstleister die Websites von besonders gefährdeten Organisationen übernommen und darauf eine Warnmeldung veröffentlicht. „Mit der Veröffentlichung möchten wir die stark wachsende Gruppe an Organisationen warnen, deren DNS-Einträge auf verwaiste Cloudressourcen zeigen, wodurch sogenannte Subdomain Hijacking Angriffe möglich werden. Wir haben derartige Angriffe bereits bei österreichischen Behörden beobachtet“, erklärt Marc Nimmerrichter.

Regierungen, FPÖ, Stanford University und CNN sind betroffen

Die Sicherheitsforscher haben bei WordPress.com gehostete Blogs des australischen Außenministeriums (https://blog.dfat.gov.au), des britischen Wetterdienstes (https://blog.theukmetoffice.gov.uk), der US-Bundesstaaten Rhode Island (https://blog.health.ri.gov) und Nebraska (https://test.ne.gov) sowie der Varobank aus den USA (https://blog.varobank.com) übernommen. Zudem wurden AWS S3 Buckets, auf die DNS-Einträge des zur deutschen Ergo Group gehörenden Versicherungsunternehmens Nexible (http://s3.nexible.de/index.html) und des ebenfalls in Deutschland ansässigen Tabakkonzerns Dannemann (http://img.dannemann.com/index.html) verweisen, von Certitude Consulting reserviert.

Darüber hinaus wurden die bei Buzzsprout betriebenen Podcast-Plattformen der Freiheitlichen Partei Österreichs (FPÖ) (https://podcast.fpoe.at), des an der Nasdaq gelisteten Technologieunternehmens Netscout Systems (https://podcast.netscout.com) und des US-Versicherungskonzerns Penn Mutual (https://podcast.pennmutual.com) übernommen. Für die auf WordPress oder Buzzsprout gehosteten Websites wurde auch ein gültiges TLS-Zertifikat ausgestellt, das den Anschein der Legitimität der Inhalte weiter verstärkt.

Über ein ähnliches Vorgehen konnte eine Weiterleitung der Subdomains erzwungen werden. Ein gültiges TLS-Zertifikat wird dabei nicht ausgestellt. Auf diese Weise übernahm Certitude Consulting Websites des Nachrichtensenders CNN (http://insession.blogs.fortune.cnn.com), der Regierung der kanadischen Provinz Neufundland und Labrador (http://atippblog.gov.nl.ca), der internationalen Nichtregierungsorganisation Caritas (http://blog.caritas.org), der in den USA ansässigen Bankfive (http://blog.bankfive.com), der University of California (http://blog.admission.ucla.edu), der University of Pennsylvania (http://blog.wic.library.upenn.edu) sowie der Stanford University (http://shaqfehgroup.stanford.edu) und leitete sie auf einen neu erstellten WordPress-Blog weiter (http://subdomainhijackingblog.wordpress.com).

Verantwortung der Cloud Provider

Die Sicherheitsforscher nehmen nicht nur die Kundinnen und Kunden, sondern auch die Cloud Provider in die Pflicht. „Das Kapern von Subdomains könnte in den meisten Fällen von den Clouddiensten effektiv und lückenlos verhindert werden, indem sie den Domänenbesitz verifizieren und bereits zuvor genutzte Kennungen nicht sofort wieder zur Registrierung freigeben. Microsoft hat dies für Azure Storage Accounts bereits vor einigen Monaten umgesetzt. Andere Anbieter wie Amazon Web Services müssen ihre Hausaufgaben erst machen und die Verantwortung übernehmen“, analysiert Florian Schweitzer, Experte für Cloud Security bei Certitude Consulting.

Das Prinzip der geteilten Verantwortung („Shared Responsibility Model“) für die Betriebsmodelle Software as a Service (SaaS) und Platform as a Service (PaaS) sieht die Zuständigkeit für Netzwerk-Flows bei den Cloud Providern. Lediglich im Bereich Infrastructure as a Service (IaaS) liege die Verantwortung klar bei den Kundinnen und Kunden.

Betroffene Organisationen können sich selbst schützen

Certitude Consulting empfiehlt allen Organisationen, Cloud Ressourcen erst zu deaktivieren, nachdem die dazugehörigen DNS-Einträge entfernt wurden. Zusätzlich sollten DNS-Einträge in regelmäßigen Abständen überprüft werden.

Links zu archivierten Websites sowie Screenshots finden sich unter: https://certitude.consulting/blog/en/subdomain-hijacking