Subdomain-Übernahmen

Wenn der Prozess der Bereitstellung oder der Außerbetriebsetzung (Entfernen) eines virtuellen Hosts nicht ordnungsgemäß behandelt wird, kann es eine Gelegenheit für einen Angreifer geben, eine Subdomain zu übernehmen.

Ein Angreifer richtet einen virtuellen Host für einen Subdomain-Namen ein, den Sie beim Hosting-Anbieter gekauft haben, bevor Sie dies tun.

Angenommen, Sie kontrollieren die Domain example.com. Sie möchten einen Blog unter blog.example.com einrichten und entscheiden sich für einen Hosting-Anbieter, der eine Blogging-Plattform betreibt. (Für "Blog" können Sie "E-Commerce-Plattform", "Kundendienst-Plattform" oder ein anderes "cloud-basiertes" virtuelles Hosting-Szenario einsetzen.) Der Prozess, den Sie durchlaufen, könnte so aussehen:

1. Sie registrieren den Namen "blog.example.com" bei einem Domain-Registrar.
2. Sie richten DNS-Einträge ein, um Browser, die blog.example.com aufrufen möchten, zum virtuellen Host zu leiten.
3. Sie erstellen einen virtuellen Host beim Hosting-Anbieter.

Es sei denn, der Hosting-Anbieter ist sehr sorgfältig darin, zu überprüfen, dass die Person, die den virtuellen Host einrichtet, tatsächlich der Eigentümer des Subdomain-Namens ist, könnte ein Angreifer, der schneller ist als Sie, einen virtuellen Host beim selben Hosting-Anbieter einrichten und Ihren Subdomain-Namen verwenden. In diesem Fall kann der Angreifer, sobald Sie DNS in Schritt 2 einrichten, Inhalte auf Ihrer Subdomain hosten.

Sie nehmen Ihren virtuellen Host außer Betrieb, aber ein Angreifer richtet einen neuen virtuellen Host mit demselben Namen und Hosting-Anbieter ein.

Sie (oder Ihr Unternehmen) entscheiden, dass Sie den Blog nicht länger betreiben möchten, sodass Sie den virtuellen Host beim Hosting-Anbieter entfernen. Wenn Sie jedoch nicht den DNS-Eintrag entfernen, der auf den Hosting-Anbieter verweist, kann ein Angreifer jetzt seinen eigenen virtuellen Host bei diesem Anbieter erstellen, Ihre Subdomain beanspruchen und eigene Inhalte unter dieser Subdomain hosten.

Das Verhindern von Subdomain-Übernahmen ist eine Frage der Reihenfolge der Abläufe im Lebenszyklusmanagement für virtuelle Hosts und DNS. Abhängig von der Größe der Organisation kann dies Kommunikation und Koordination über mehrere Abteilungen erfordern, was die Wahrscheinlichkeit einer verwundbaren Fehlkonfiguration nur erhöhen kann.

• Definieren Sie Standardprozesse für die Bereitstellung und Außerbetriebnahme von Hosts. Führen Sie alle Schritte so nah wie möglich zusammen durch.

  • Beginnen Sie die Bereitstellung, indem Sie den virtuellen Host beanspruchen; erstellen Sie DNS-Einträge zuletzt.
  • Beginnen Sie die Außerbetriebnahme, indem Sie DNS-Einträge zuerst entfernen.

• Erstellen Sie ein Inventar aller Domains Ihrer Organisation und deren Hosting-Anbieter und aktualisieren Sie es, wenn sich etwas ändert, um sicherzustellen, dass nichts unbeaufsichtigt bleibt.

• Üben Sie Druck auf Hosting-Anbieter aus, Lücken zu schließen; fragen Sie, wie sie sicherstellen, dass jemand, der einen virtuellen Host beansprucht, tatsächlich einen legitimen Anspruch auf den Domainnamen hat. Arbeiten Sie innerhalb Ihrer Organisation daran, dies in den Prozess der Anbieterauswahl einzubinden.

Wenn Sie feststellen, dass eine Subdomain Ihrer Domain übernommen wurde, besteht der erste Schritt, sofern möglich, darin, den "Strom abzuschalten", indem Sie den DNS-Eintrag für die Subdomain entfernen. Wenn Ihre Site mehrere Virtualisierungsebenen hat (z. B. ein CDN zusätzlich zum virtuellen Hosting), müssen Sie möglicherweise jede Ebene untersuchen, um herauszufinden, wo genau der Angreifer seinen virtuellen Host-Anspruch geltend gemacht hat, um Ihre Domain zu übernehmen.

• 'Deep Thoughts' on Subdomain Takeover Vulnerabilities
• Subdomain Takeover: Basics