Wer am Dienstagnachmittag die Adresse "podcast.fpoe.at" aufrief, dürfte nicht schlecht gestaunt haben. Denn unter dieser Subdomain fand sich nicht das Audioangebot der Freiheitlichen Partei, sondern ein Warnzeichen nebst Überschrift "Security Awareness Podcast". Darunter der Text: "Dieses Konto wurde reserviert, um Subdomain Hijacking durch Böswillige zu verhindern".

Dahinter steckt eine Demonstration durch Sicherheitsforscher des Wiener IT-Beraters Certitude Consulting. Sie identifizierten verwaiste DNS-Einträge als Einfallstor für Angriffe. Diese Lücke ermöglicht es Angreifern, Subdomains von an sich legitimen Angeboten zu kapern und für eigene Zwecke zu missbrauchen. Damit ist eine Übernahme jener Seiten möglich, auf welche die alten Einträge zeigen, in dem Fall ein neu angemeldeter Account auf dem Podcast-Hostingdienst Buzzsprout unter einem Kontonamen, der vormals von der FPÖ benutzt worden war. Im konkreten Fall verfügte die gekaperte Seite sogar gleich über ein gültiges TLS-Zertifikat, was bei einem tatsächlichen Angriff die Unterscheidbarkeit zu einer echten Seite weiter erschwert hätte.

Ein Screenshot der gekaperten Subdomain podcast.fpoe.at. Screenshot/DER STANDARD

Ein so eingerichteter Auftritt, der dank seiner Internetadresse für Außenstehende den Eindruck erweckt, der Partei zu gehören, ließe sich etwa hervorragend für Datendiebstahl und andere kriminelle Aktivitäten missbrauchen. Durch die Kaperung auf eigene Faust wollen die Forscher auf die Lücke hinweisen und gleichzeitig Missbrauch durch andere verhindern.

Wenn der DNS-Eintrag übrig bleibt

Möglich ist so ein "Subdomain Hijacking"-Angriff, wenn der verwaiste DNS-Eintrag auf ein Shared-Hosting-Service zeigt, also eine Plattform, bei der sich viele Nutzer einen Dienst teilen. Das betrifft etwa Blogplattformen, Podcast-Dienste, Cloudspeicher und oft auch Webhosting. Löscht jemand seine Präsenz auf dem Service, ohne aber den DNS-Eintrag der zugehörigen Subdomain zu aktualisieren oder zu entfernen, kann ein Angreifer zuschlagen.

Ein Angriff ist möglich, indem er sich den alten Kontonamen sichert oder, im Falle von Webhosting, den nicht mehr konfigurierten DNS-Eintrag der Subdomain zu seinem eigenen Webspace beim gleichen Anbieter zeigen lässt. In der Regel erfolgt betreiberseitig nämlich keine Prüfung, ob ein gesetzter DNS-Eintrag zu einer Domain gehört, die sich auch wirklich im Besitz des Inhabers des Webspaces, des Podcast-Kontos oder der Cloudspeicherinstanz befindet. Das DNS-System (Domain Name Service) dient zur "Auflösung" von Domainnamen in eine spezifische IP-Adresse, mit der sich der Browser und andere Software verbindet.

Die FPÖ befindet sich allerdings in prominenter Gesellschaft. Die Forscher schnappten sich auch weitere Subdomains entweder direkt oder erzwangen eine Weiterleitung unter Ausnutzung nicht mehr konfigurierter DNS-Einträge. Betroffen sind etwa der US-Versicherungskonzern Penn Mutual, der TV-Sender CNN, die Regierung der kanadischen Provinz Neufundland und Labrador, die US-Bundesstaaten Rhode Island und Nebraska, der britische Wetterdienst, die deutsch Ergo Group, der Tech-Konzern Netscout, aber auch die University of California, die University of Pennsylvania und die Stanford University.

Auch Cloudanbieter gefordert

Bei Certitude sieht man das Problem aber nicht nur in der Nachlässigkeit der Kundschaft hinsichtlich der Pflege ihrer DNS-Adressen. Auch die Cloudanbieter seien angehalten, etwas zu unternehmen. "Das Kapern von Subdomains könnte in den meisten Fällen effektiv verhindert werden, indem sie den Domain-Besitz verifizieren und zuvor genutzte Kennungen nicht sofort wieder zur Registrierung freigeben." Manche Anbieter, etwa Microsoft Azure, hätten dies bereits implementiert, andere – darunter auch Amazon AWS – seien jedoch noch säumig.

Allgemein empfiehlt man weiters, Cloudressourcen erst stillzulegen, wenn man die zugehörigen DNS-Einträge korrigiert oder entfernt hat. Zudem solle man regelmäßig nachprüfen, wie es um die Richtigkeit der DNS-Einträge, die zu eigenen Domains gehören, steht. (red, 30.8.2023)