Subdomain-Übernahmen

Wenn der Prozess der Bereitstellung oder des Entfernens eines virtuellen Hosts nicht ordnungsgemäß gehandhabt wird, kann es eine Gelegenheit für einen Angreifer geben, eine Subdomain zu übernehmen.

Ein Angreifer richtet einen virtuellen Host für einen Subdomain-Namen ein, den Sie beim Hosting-Anbieter gekauft haben, bevor Sie dies tun.

Angenommen, Sie kontrollieren die Domain example.com. Sie möchten einen Blog unter blog.example.com hinzufügen und entscheiden sich, einen Hosting-Anbieter zu verwenden, der eine Blogging-Plattform bereitstellt. (Anstelle von "Blog" können Sie "E-Commerce-Plattform", "Kundendienstplattform" oder jede andere "cloudbasierte" virtuelle Hosting-Situation einsetzen.) Der Prozess könnte folgendermaßen aussehen:

1. Sie registrieren den Namen "blog.example.com" bei einem Domain-Registrar.
2. Sie richten DNS-Einträge ein, um Browser, die auf blog.example.com zugreifen möchten, zum virtuellen Host zu leiten.
3. Sie erstellen einen virtuellen Host beim Hosting-Anbieter.

Es sei denn, der Hosting-Anbieter ist sehr sorgfältig bei der Überprüfung, dass die Entität, die den virtuellen Host einrichtet, tatsächlich der Eigentümer des Subdomain-Namens ist, könnte ein Angreifer, der schneller ist als Sie, einen virtuellen Host beim selben Anbieter mit Ihrem Subdomain-Namen einrichten. In einem solchen Fall kann der Angreifer, sobald Sie in Schritt 2 DNS einrichten, Inhalte in Ihrer Subdomain hosten.

Sie nehmen Ihren virtuellen Host herunter, aber ein Angreifer richtet einen neuen virtuellen Host mit demselben Namen und Anbieter ein.

Sie (oder Ihr Unternehmen) entscheiden, dass Sie keinen Blog mehr betreiben möchten, daher entfernen Sie den virtuellen Host vom Hosting-Anbieter. Wenn Sie jedoch nicht den DNS-Eintrag entfernen, der auf den Hosting-Anbieter verweist, kann ein Angreifer sich jetzt einen eigenen virtuellen Host bei diesem Anbieter einrichten, Ihre Subdomain beanspruchen und eigene Inhalte unter dieser Subdomain hosten.

Das Verhindern von Subdomain-Übernahmen ist eine Frage der Reihenfolge der Operationen im Lebenszyklusmanagement für virtuelle Hosts und DNS. Abhängig von der Größe der Organisation kann dies Kommunikation und Koordination über mehrere Abteilungen erfordern, was die Wahrscheinlichkeit einer anfälligen Fehlkonfiguration erhöhen kann.

• Definieren Sie Standardprozesse für die Bereitstellung und das Entfernen von Hosts. Führen Sie alle Schritte so nah wie möglich zeitlich zusammen durch.

  • Beginnen Sie die Bereitstellung, indem Sie den virtuellen Host beanspruchen; erstellen Sie DNS-Einträge zuletzt.
  • Beginnen Sie die Entfernung, indem Sie DNS-Einträge zuerst entfernen.

• Erstellen Sie ein Inventar aller Domains Ihrer Organisation und deren Hosting-Anbieter, und aktualisieren Sie es, wenn sich etwas ändert, um sicherzustellen, dass nichts offen bleibt.

• Üben Sie Druck auf die Hosting-Anbieter aus, um Lücken zu schließen; fragen Sie, wie sie überprüfen, dass jemand, der einen virtuellen Host beansprucht, tatsächlich ein berechtigter Anspruch auf den Domainnamen hat. Arbeiten Sie innerhalb Ihrer Organisation daran, dies zum Teil des Lieferantenqualifizierungsprozesses zu machen.

Wenn Sie entdecken, dass eine Subdomain Ihrer Domain übernommen wurde, ist der erste Schritt, sofern möglich, den "Strom abzuschalten", indem Sie den DNS-Eintrag für die Subdomain entfernen. Wenn Ihre Site mehrere Virtualisierungsebenen hat (z. B. ein CDN zusätzlich zum virtuellen Hosting), müssen Sie möglicherweise jede Ebene untersuchen, um festzustellen, wo genau der Angreifer seinen virtuellen Host beansprucht hat, um Ihre Domain zu übernehmen.

• 'Deep Thoughts' on Subdomain Takeover Vulnerabilities
• Subdomain Takeover: Basics