Einfallstor Subdomains: Forscher identifizieren neues Sicherheitsrisiko

Das Internet ist voller Gefahren: Sensible Daten können geleakt werden, bösartige Webseiten können Hackern den Zugriff auf private Computer ermöglichen. Das Cybersecurity-Team der TU Wien   hat in Kooperation mit der Ca' Foscari Universität   (Italien) eine neue wichtige Sicherheitslücke aufgedeckt, die bisher übersehen worden war: Große Webseiten haben oft viele Subdomains - so könnte etwa "sub.example.com" eine Subdomain der Webseite "example.com" sein. Mit bestimmten Tricks ist es möglich, die Kontrolle über einzelne dieser Subdomains zu übernehmen. Und wenn das gelingt, eröffnen sich neue Sicherheitslücken, die auch Personen in Gefahr bringen, die einfach nur die eigentliche Webseite (in diesem Beispiel: example.com) verwenden wollen.

Das Forschungsteam analysierte, welche Attacken dadurch möglich werden und analysierte außerdem, wie verbreitet das Problem ist: 50.000 der weltweit wichtigsten Webseiten wurden untersucht, 1.520 vulnerable Subdomains konnten dabei entdeckt werden. Das Team wurde zum 30. USENIX Security Symposium eingeladen, eine der prestigeträchtigsten wissenschaftlichen Konferenzen im Bereich Cybersecurity. Nun wurden die Ergebnisse im Rahmen der Konferenz online publiziert.

Dangling Records: Verknüpfungen als Fallstricke

"Auf den ersten Blick könnte man meinen, das Problem sei wohl nicht so schlimm", sagt Marco Squarcina vom Institut für Logic und Computation der TU Wien. "Schließlich könnte man glauben, dass man sich zu einer Subdomain nur dann Zugang verschaffen kann, wenn man Administrationsrechte für die Webseite erhalten hat, aber das ist ein Irrtum."

Oft verweist eine Subdomain nämlich auf eine andere Webseite, die physisch auf ganz anderen Servern gespeichert ist. Vielleicht besitzt man die Webseite example.com und möchte einen Blog hinzufügen. Den will man aber nicht neu aufbauen, sondern stattdessen eine bereits bestehende Blog-Struktur einer anderen Webseite nutzen. Daher wird eine Subdomain, etwa blog.example.com, mit einer anderen Seite verknüpft. "Wer die Seite example.com nutzt und dort zum Blog weiterklickt, bemerkt nichts Verdächtiges", sagt Marco Squarcina. "In der Adressleiste des Browsers steht die korrekte Subdomain blog.example.com, die Daten kommen nun aber von einer völlig anderen Seite."

Was passiert aber nun, wenn die Verknüpfung eines Tages nicht mehr gültig ist? Vielleicht wird der Blog aufgelöst oder anderswo neu aufgebaut. Dann verweist die Verknüpfung von blog.example.com auf eine fremde Seite, die es nicht mehr gibt. In diesem Fall spricht man von "Dangling Records" - lose Enden im Netz der Webseite, die ideale Angriffspunkte für Attacken sind.

"Wenn solche Dangling Records nicht rasch beseitigt werden, dann kann jemand dort seine eigene Webseite anlegen, die dann unter sub.example.com angezeigt wird", sagt Mauro Tempesta (ebenfalls Cybersecurity, TU Wien). "Was immer man mit dieser Seite macht, wird dann auf sub.example.com angezeigt."Das ist deshalb ein Problem, weil Webseiten unterschiedliche Sicherheitsregeln für unterschiedliche Bereiche des Internets anwenden. Die eigenen Subdomains werden normalerweise als "sicher" eingestuft - auch wenn sie in Wahrheit von außerhalb kontrolliert werden. So kann man etwa über die Subdomain auf Cookies zugreifen, die von der Hauptseite bei Usern platziert wurden - im schlimmsten Fall kann dann ein Eindringling vorgeben, ein anderer User zu sein und in dessen Namen illegale Aktionen ausführen.

Erschreckend häufiges Problem

Das Team untersuchten 50.000 der meistbesuchten Seiten der Welt und fand 26 Millionen Subdomains auf 887 dieser Seiten fanden sie Sicherheitslücken, auf insgesamt 1.520 vulnerable Subdomains. Unter den verwundbaren Seiten waren einige der berühmtesten Webseiten überhaupt, wie etwa cnn.com oder harvard.edu. Universitätsseiten waren besonders häufig betroffen, weil sie normalerweise eine besonders große Zahl von Subdomains haben.

Alle verantwortlichen Personen wurden benachrichtigt, trotzdem war sechs Monate später erst auf 15 Prozent der Seiten das Problem behoben.