Gefährlicher Trend: Subdomain Takeover

Das sogenannte Subdomain-Takeover entwickelt sich derzeit in der cyberkriminellen Szene zu einem regelrechten Trend. Die Übernahme verwaister Domains und Subdomains ist für Profis einfach und wird als Ausgangsposition für Hackerangriffe genutzt.

Ungenutzte Domains, die nicht mehr gewollt oder benötigt werden, sind zu Tausenden im Netz vorhanden. Nach der Nutzung wurde meist vergessen, den CNAME-Eintrag im DNS zu löschen. Dadurch sind die Subdomains noch online, zeigen meist eine Fehlermeldung an, wenn sie aufgerufen werden.

Vor allem Unternehmen kündigen nicht mehr genutzte Cloud-Services und vergessen dann die Löschung der DNS Einträge. Da für diese Einträge keine Rechnungen auf Monatsbasis erstellt werden, denken sehr viele IT-Abteilungen nicht mehr daran und die entsprechenden Domains verbleiben oft Jahre ohne Nutzung im Netz.

Sogenannte Bug-Bounty-Jäger suchen gezielt nach diesen Domains und Subdomains. Sie nutzen spezielle Tools, die automatisch das Netz nach den verwaisten Domains scannen und führen sie dann auf Bug-Bounty Plattformen in einer Extra-Kategorie. Bug Bounty hat sich zu einem lukrativen Geschäft entwickelt, denn Unternehmen, die Hinweise zu verwaisten Domains bekommen, zahlen oft den „Bug Bounty“ als Prämie für das Auffinden einer Sicherheitslücke. Dabei kann der Betrag schon einmal vierstellig sein.

Verwaiste Domains und Subdomains sind Sicherheitslücken, die von Hackern sehr einfach ausgenutzt werden können. Die Cyberkriminellen könnten eigene Shops installieren oder über die ungenutzten Domains Phishingkampagnen starten. Diese Aktionen laufen immer unter dem Namen des Unternehmens, das die Domains ursprünglich angemeldet hat, können also große materielle und ideelle Schäden verursachen. Durch diese Aktionen könnten die Vertrauensbasis zwischen Unternehmen und Kunden nachhaltig gestört werden. Deshalb zahlen die Unternehmen den Bug Jägern relativ hohe Prämien für die Meldung einer verwaisten Subdomain.

Die neue „Masche“ des Takeover funktioniert auch bei Cloud Providern, die es Kunden erlauben, ihre Dienste mittels CNAME-Eintrag unter der eigenen, externen Domain zu betreiben. Auch beim Löschen des Dienstes muss der CNAME Eintrag gelöscht werden oder die Subdomain verwaist.

Da viele große Unternehmen Subdomains externisieren aber unter eigenen Namen betreiben, sind auch namhafte Unternehmen, wie z.B. Microsoft-Azure-Webseiten und Cloud-Apps, der Speicherdienst S3 (Amazon), die Content Delivery Networks fastly, Amazon Cloudfront und Subdomains von Github und WordPress betroffen.