Registry Switch warnt vor Sub-Domain-Hijacking
Die Registry Switch verwaltet u.a. die Schweizer Länderdomain .ch und gibt deren Nutzern regelmäßig Sicherheitshinweise zu aktuellen Gefährdungen durch DDoS Attacken, Ransomware oder Superbugs. Auf dem Switch Blog wurde jetzt ein Artikel zum Sub-Domain-Hijacking veröffentlicht.
Es ist heute bei vielen Domainbetreibern üblich, Subdomains einzurichten, die zeitlich begrenzt für bestimmte Services bzw. Produkte oder auch nur als Testdomains betreiben werden. Während das Anmelden und Einrichten der Subdomains aktiv vorgenommen und beobachtet wird, entfällt das Abmelden, wenn die Domain nicht mehr benötigt wird. Ist der Webserver abgeschaltet, verbleibt der Eintrag im DNS Zone File einer Domain und gerät in Vergessenheit.
Switch Experte Michael Hausding sieht genau darin die Gefahr eines Hijackings. Bei aktiven Domains fällt eine Übernahme schnell auf, doch die vergessenen Subdomains, die niemand mehr beachtet, werden für Hacker immer interessanter. Hausding schreibt, erkenne „jede Menge“ an Beispielen von gekaperten Subdomains auch in der Schweiz“.
Sind die Subdomains erst einmal in der Hand der Hacker, können diese beliebig Inhalte online schalten, Mails mit dem Absender der Subdomain oder – wenn die Sicherheitseinstellungen der Domain besonders niedrig oder unpräzise sind – sogar über die Hauptdomain versenden.
IT Outsourcing als Problem
Die Switch Experten sehen das zunehmende IT Outsourcing als Indikator für den „Trend“ Subdomain-Hijacking. Die Übernahme von Subdomains ist einfach, wenn der Eintrag im DNS Zone File durch eine Delegation oder ein CNAME-Alias auf einen weiteren, anderen Domainnamen zeigt. Das ist beim Outsourcing üblich und die Hacker können schnell auf Subdomains zugreifen, wenn eine dieser Drittdomains frei wird. Große Unternehmen enthalten die File Zones oft hunderte oder sogar tausende Einträge. Hacker können den Unternehmen durch diese gezielten Angriffe großen Schaden zufügen.
Die Experten von Switch empfehlen deshalb eine gezielte „Pflege“ dieser File Zones mit regelmäßiger Überprüfung und Entfernung nicht benötigter Subdomains. Um den IT-Experten der Unternehmen bei der Analyse zu helfen, haben die Experten ein Analysescript geschrieben und den kostenfreien Downloadlink auf Github veröffentlicht.