Die Domainlandschaft des Internetriesen Microsoft ist gewaltig und einem stetigen Wandel unterworfen. Tausende Subdomains sind im Umlauf, werden immer wieder durch neue ersetzt, dann aber teilweise vergessen. Die Subdomains verwaisen und können zum Risiko werden. Löschen die zuständigen Admins bei Microsoft die DNS- Einträge der Subdomains nicht, sind gerade die Domains, die in die Microsoft Cloud verweisen, potentielle „Kandidaten“ für ein sogenanntes Subdomain Takeover, was nicht nur in der Cloud großen Schaden anrichten kann.
Sicherheitsforscher entdeckt „entdeckt“ Microsoft-Subdomains
Der Sicherheitsforscher Michel Gaschet hat im Jahr 2019 insgesamt 259 verwaiste Microsoft Subdomains entdeckt und dem Unternehmen gemeldet. Laut seinen Recherchen interessiert sich der Internetgigant aber nur für 5 -10% aller Subdomains, die jemals registriert wurden. Es sind vor allem bekannte und viel genutzte oder gut nutzbare Subdomains, die regelmäßig gepflegt werden. Der große Teil aber wird nicht mehr beachtet. Für Hacker sind diese verwaisten Subdomains aber sehr interessant, da sie viele Möglichkeiten für Interaktionen bieten. Laut Onlinemagazin ZDnet wurden mindestens vier Microsoft Subdomains identifiziert, die widerrechtlich von einer illegalen indonesischen Glücksspieldomain okkupiert wurden. Michel Gaschet identifizierte portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com und blog-ambassadors.microsoft.com.
Subdomain-Takeover im Trend
Das sogenannte Subdomain-Takeover scheint wieder einmal im Trend zu liegen. Neben Microsoft wurden auch andere Unternehmen von Hackern überraschte, die sich auf verwaisten Subdomains eingenistet hatten, wie u.a. bei Uber und dem Netzwerkausrüster Ubiquiti.
Hackern bieten verwaiste Subdomains viele Möglichkeiten zur Nutzung. Meist werden auf den bekannteren Domains Phishingwebsites eingerichtet. Auch das „Abgreifen“ von Cookies der Hauptdomain wird oft versucht. Das ist immer dann einfach, wenn die Hauptdomains Cookies mit den Subdomains teilt.
Das Webportal golem.de konnte bereits im April vergangenen Jahres die Subdomain notfictions.buildmypinnedsite.com übernehmen. Mittels dieser vergessenen Subdomain ließen sich einst die Kacheln und Tiles von Windows 8 steuern. Golem registrierte die Domain neu und lieferte in einem Test verschiedene Inhalte an die Windows Kacheln aus.
Das Sicherheitsunternehmen Checkpoint übernahm im Sommer 2019 die verwaiste Subdomain von Electronic Arts (EA) und betrieben darunter eine Phishing-Website mittels derer sie Zugriff auf das SSO-Token eines Spielers – und damit über das EA-Konto des Spielers erhielten.