Übernahme von Subdomains

Wenn der Prozess des Bereitstellens oder Entfernens eines virtuellen Hosts nicht ordnungsgemäß gehandhabt wird, kann es eine Gelegenheit für einen Angreifer geben, eine Subdomain zu übernehmen.

Ein Angreifer richtet einen virtuellen Host für einen Subdomain-Namen ein, den Sie beim Hosting-Anbieter gekauft haben, bevor Sie ihn einrichten können.

Angenommen, Sie kontrollieren die Domain example.com. Sie möchten einen Blog unter blog.example.com hinzufügen und entscheiden sich für einen Hosting-Anbieter, der eine Blogging-Plattform betreibt. (Für "Blog" können Sie "E-Commerce-Plattform", "Kundendienstplattform" oder ein anderes "cloud-basiertes" virtuelles Hosting-Szenario ersetzen.) Der Prozess, den Sie durchlaufen, könnte folgendermaßen aussehen:

1. Sie registrieren den Namen "blog.example.com" bei einem Domain-Registrar.
2. Sie richten DNS-Einträge ein, um Browser, die blog.example.com aufrufen möchten, zum virtuellen Host weiterzuleiten.
3. Sie erstellen einen virtuellen Host beim Hosting-Anbieter.

Es sei denn, der Hosting-Anbieter ist sehr vorsichtig zu überprüfen, dass die Entität, die den virtuellen Host einrichtet, tatsächlich der Inhaber des Subdomain-Namens ist, könnte ein Angreifer, der schneller als Sie ist, einen virtuellen Host beim gleichen Hosting-Anbieter einrichten, indem er Ihren Subdomain-Namen verwendet. In einem solchen Fall kann der Angreifer, sobald Sie den DNS in Schritt 2 eingerichtet haben, Inhalte auf Ihrer Subdomain hosten.

Sie nehmen Ihren virtuellen Host herunter, aber ein Angreifer richtet einen neuen virtuellen Host mit dem gleichen Namen und Hosting-Anbieter ein.

Sie (oder Ihr Unternehmen) entscheiden, dass Sie keinen Blog mehr betreiben möchten, also entfernen Sie den virtuellen Host vom Hosting-Anbieter. Wenn Sie jedoch den DNS-Eintrag, der auf den Hosting-Anbieter verweist, nicht entfernen, kann ein Angreifer nun seinen eigenen virtuellen Host mit diesem Anbieter erstellen, Ihre Subdomain beanspruchen und eigene Inhalte unter dieser Subdomain hosten.

Die Verhinderung von Übernahmen von Subdomains ist eine Frage der Reihenfolge der Abläufe im Lebenszyklusmanagement für virtuelle Hosts und DNS. Je nach Größe der Organisation kann dies die Kommunikation und Koordination mehrerer Abteilungen erfordern, was die Wahrscheinlichkeit einer anfälligen Fehlkonfiguration nur erhöhen kann.

• Definieren Sie Standardprozesse für die Bereitstellung und das Entfernen von Hosts. Führen Sie alle Schritte so nah wie möglich zusammen aus.

  • Beginnen Sie die Bereitstellung, indem Sie den virtuellen Host beanspruchen; erstellen Sie DNS-Einträge zuletzt.
  • Beginnen Sie das Entfernen, indem Sie DNS-Einträge zuerst entfernen.

• Erstellen Sie ein Inventar aller Domains und deren Hosting-Anbieter Ihrer Organisation und aktualisieren Sie es bei Änderungen, um sicherzustellen, dass nichts unbeaufsichtigt bleibt.

• Üben Sie Druck auf Hosting-Anbieter aus, um Lücken zu schließen; erkundigen Sie sich, wie sie überprüfen, dass jemand, der einen virtuellen Host beansprucht, tatsächlich ein berechtigter Anspruch auf den Domainnamen hat. Arbeiten Sie innerhalb Ihrer Organisation daran, dies zu einem Bestandteil des Anbieterqualifikationsprozesses zu machen.

Wenn Sie feststellen, dass eine Subdomain Ihrer Domain übernommen wurde, besteht der erste Schritt darin, "den Strom abzuschalten", indem Sie den DNS-Eintrag für die Subdomain entfernen. Wenn Ihre Seite mehrere Virtualisierungsebenen hat (z. B. ein CDN zusätzlich zum virtuellen Hosting), müssen Sie möglicherweise jede Ebene untersuchen, um festzustellen, wo genau der Angreifer seinen virtuellen Host-Anspruch geltend gemacht hat, um Ihre Domain zu übernehmen.

• 'Deep Thoughts' on Subdomain Takeover Vulnerabilities
• Subdomain Takeover: Basics