IT-Leck bringt Kontrolle über Subdomains

Mit bestimmten Tricks lässt sich bei großen Webseiten dank einer gefährlichen Sicherheitslücke die Kontrolle über einzelne Subdomains übernehmen.

Gelingt das, so Forscher der Technischen Universität Wien und der Ca’ Foscari Universität, eröffnen sich neue Sicherheitslücken, die auch Personen in Gefahr bringen, die einfach nur die eigentliche Webseite verwenden wollen.

Anzeige

Risiko Sicherheitsirrtum

Das Team hat analysiert, welche Attacken dank der Lücke möglich werden und wie verbreitet das Problem ist: 50.000 der weltweit wichtigsten Webseiten wurden untersucht, 1.520 vulnerable Subdomains konnten dabei entdeckt werden. “Auf den ersten Blick könnte man meinen, das Problem sei wohl nicht so schlimm. Schließlich könnte man glauben, dass man sich zu einer Subdomain nur dann Zugang verschaffen kann, wenn man Administrationsrechte für die Webseite erhalten hat, aber das ist ein Irrtum”, sagt TU-Wien-Forscher Marco Squarcina.

Oft verweise eine Subdomain nämlich auf eine andere Webseite, die physisch auf ganz anderen Servern gespeichert ist. “Vielleicht besitzt man die Webseite example.com und möchte einen Blog hinzufügen. Den will man aber nicht neu aufbauen, sondern stattdessen eine bereits bestehende Blog-Struktur einer anderen Webseite nutzen. Daher wird eine Subdomain, etwa blog.example.com, mit einer anderen Seite verknüpft.” Werde die Seite example.com nun genutzt und dort zum Blog weitergeklickt, so werde der User nichts Verdächtiges bemerken. “In der Adressleiste des Browsers steht die korrekte Subdomain blog.example.com, die Daten kommen nun aber von einer völlig anderen Seite”, so Squarcina.

Lose Enden dienen Hack

Doch die Forscher fragten sich, was passiert, wenn die Verknüpfung eines Tages nicht mehr gültig ist. Vielleicht wird der Blog aufgelöst oder anderswo neu aufgebaut. Dann verweist die Verknüpfung von blog.example.com auf eine fremde Seite, die es nicht mehr gibt. In diesem Fall spricht man von “Dangling Records” – lose Enden im Netz der Webseite, die ideale Angriffspunkte für Attacken sind. “Wenn solche Dangling Records nicht rasch beseitigt werden, dann kann jemand dort seine eigene Webseite anlegen, die dann unter sub.example.com angezeigt wird”, ergänzt Mauro Tempesta, ebenfalls von der TU Wien. “Was immer man mit dieser Seite macht, wird dann auf sub.example.com angezeigt.”

Den Experten nach ist dies deshalb ein Problem, weil Webseiten unterschiedliche Sicherheitsregeln für unterschiedliche Bereiche des Internets anwenden. Die eigenen Subdomains würden normalerweise als “sicher” eingestuft – auch wenn sie in Wahrheit von außerhalb kontrolliert werden. So könne man etwa über die Subdomain auf Cookies zugreifen, die von der Hauptseite bei Usern platziert wurden – im schlimmsten Fall könnte ein Eindringling vorgeben, ein anderer Nutzer zu sein und in dessen Namen illegale Aktionen ausführen.

www.pressetext.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.