Subdomain-Takeover
Was ist Subdomain-Takeover?
Subdomain-TakeoverAngriff, bei dem ein verwaister DNS-Eintrag (meist ein CNAME) auf eine nicht beanspruchte Cloud- oder SaaS-Ressource zeigt; ein Angreifer kann diese registrieren und so die Subdomain ubernehmen.
Ein Subdomain-Takeover entsteht, wenn ein DNS-Eintrag der Opfer-Domain weiterhin auf einen externen Dienst zeigt, der nicht mehr genutzt wird. Klassisch ist ein CNAME wie assets.example.com -> example-bucket.s3.amazonaws.com, dessen S3-Bucket, GitHub-Pages-Seite, Heroku-App oder Azure-Ressource geloscht wurde. Wer denselben externen Namen neu registriert, kontrolliert die Inhalte unter der Subdomain des Opfers, einschliesslich Cookies, OAuth-Callbacks, CORS-vertrauter Ursprunge und Markenreputation. Erkennung erfordert kontinuierliche DNS-Inventarisierung, Fingerprinting takeover-anfalliger Provider und Abgleich mit Cloud-Inventaren. Massnahmen sind das Entfernen oder Umlenken verwaister CNAMEs, DNS-Hygiene beim Decommissioning und, wo verfugbar, der Einsatz von Ownership-Tokens.
● Beispiele
- 01
Ein Angreifer registriert einen geloschten GitHub-Pages-Site neu, dessen CNAME weiterhin auf docs.example.com zeigt.
- 02
Ein abgelaufenes Azure-Traffic-Manager-Profil lasst einen Angreifer denselben FQDN ubernehmen und Phishing-Seiten ausliefern.
● Häufige Fragen
Was ist Subdomain-Takeover?
Angriff, bei dem ein verwaister DNS-Eintrag (meist ein CNAME) auf eine nicht beanspruchte Cloud- oder SaaS-Ressource zeigt; ein Angreifer kann diese registrieren und so die Subdomain ubernehmen. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Subdomain-Takeover?
Angriff, bei dem ein verwaister DNS-Eintrag (meist ein CNAME) auf eine nicht beanspruchte Cloud- oder SaaS-Ressource zeigt; ein Angreifer kann diese registrieren und so die Subdomain ubernehmen.
Wie funktioniert Subdomain-Takeover?
Ein Subdomain-Takeover entsteht, wenn ein DNS-Eintrag der Opfer-Domain weiterhin auf einen externen Dienst zeigt, der nicht mehr genutzt wird. Klassisch ist ein CNAME wie assets.example.com -> example-bucket.s3.amazonaws.com, dessen S3-Bucket, GitHub-Pages-Seite, Heroku-App oder Azure-Ressource geloscht wurde. Wer denselben externen Namen neu registriert, kontrolliert die Inhalte unter der Subdomain des Opfers, einschliesslich Cookies, OAuth-Callbacks, CORS-vertrauter Ursprunge und Markenreputation. Erkennung erfordert kontinuierliche DNS-Inventarisierung, Fingerprinting takeover-anfalliger Provider und Abgleich mit Cloud-Inventaren. Massnahmen sind das Entfernen oder Umlenken verwaister CNAMEs, DNS-Hygiene beim Decommissioning und, wo verfugbar, der Einsatz von Ownership-Tokens.
Wie schützt man sich gegen Subdomain-Takeover?
Schutzmaßnahmen gegen Subdomain-Takeover kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Subdomain-Takeover?
Übliche alternative Bezeichnungen: Dangling-CNAME-Takeover, Dangling-DNS-Takeover.
● Verwandte Begriffe
- attacks№ 338
DNS Hijacking
Angriff, der die DNS-Auflösung auf vom Angreifer kontrollierte Antworten umlenkt, indem Client-Einstellungen, Router-Konfigurationen, Resolver-Antworten oder autoritative DNS-Records geändert werden.
- attacks№ 343
DNS-Spoofing
Angriff, der gefälschte DNS-Antworten einschleust, um Opfer von einer legitimen Domain auf eine vom Angreifer kontrollierte IP-Adresse umzuleiten.
- attacks№ 349
Domain Hijacking
Unautorisierte Übernahme der Kontrolle über eine registrierte Domain auf Registrar- oder Registry-Ebene, sodass der Angreifer Traffic, E-Mail und Vertrauen auf bösartige Infrastruktur umleiten kann.
- network-security№ 1159
TLS (Transport Layer Security)
Das von der IETF standardisierte Kryptoprotokoll, das Vertraulichkeit, Integrität und Authentizität für den Verkehr zwischen zwei Netzwerkanwendungen liefert.
- network-security№ 092
BGP-Hijacking
Angriff, bei dem ein autonomes System IP-Prafixe ankundigt, die ihm nicht legitim gehoren, und so weltweiten Internetverkehr anzieht und moglicherweise abfangt.
- attacks№ 337
DNS-Cache-Poisoning
Angriff, der gefälschte Einträge in den Cache eines DNS-Resolvers einschleust, sodass nachfolgende Abfragen bis zum TTL-Ablauf die vom Angreifer gewählten Adressen zurückgeben.
● Siehe auch
- № 344DNS-Tunneling
- № 342DNS Rebinding