Subdomain-Takeover
Was ist Subdomain-Takeover?
Subdomain-TakeoverAngriff, bei dem ein verwaister DNS-Eintrag (meist ein CNAME) auf eine nicht beanspruchte Cloud- oder SaaS-Ressource zeigt; ein Angreifer kann diese registrieren und so die Subdomain ubernehmen.
Ein Subdomain-Takeover entsteht, wenn ein DNS-Eintrag der Opfer-Domain weiterhin auf einen externen Dienst zeigt, der nicht mehr genutzt wird. Klassisch ist ein CNAME wie assets.example.com -> example-bucket.s3.amazonaws.com, dessen S3-Bucket, GitHub-Pages-Seite, Heroku-App oder Azure-Ressource geloscht wurde. Wer denselben externen Namen neu registriert, kontrolliert die Inhalte unter der Subdomain des Opfers, einschliesslich Cookies, OAuth-Callbacks, CORS-vertrauter Ursprunge und Markenreputation. Erkennung erfordert kontinuierliche DNS-Inventarisierung, Fingerprinting takeover-anfalliger Provider und Abgleich mit Cloud-Inventaren. Massnahmen sind das Entfernen oder Umlenken verwaister CNAMEs, DNS-Hygiene beim Decommissioning und, wo verfugbar, der Einsatz von Ownership-Tokens.
● Beispiele
- 01
Ein Angreifer registriert einen geloschten GitHub-Pages-Site neu, dessen CNAME weiterhin auf docs.example.com zeigt.
- 02
Ein abgelaufenes Azure-Traffic-Manager-Profil lasst einen Angreifer denselben FQDN ubernehmen und Phishing-Seiten ausliefern.
● Häufige Fragen
Was ist Subdomain-Takeover?
Angriff, bei dem ein verwaister DNS-Eintrag (meist ein CNAME) auf eine nicht beanspruchte Cloud- oder SaaS-Ressource zeigt; ein Angreifer kann diese registrieren und so die Subdomain ubernehmen. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Subdomain-Takeover?
Angriff, bei dem ein verwaister DNS-Eintrag (meist ein CNAME) auf eine nicht beanspruchte Cloud- oder SaaS-Ressource zeigt; ein Angreifer kann diese registrieren und so die Subdomain ubernehmen.
Wie schützt man sich gegen Subdomain-Takeover?
Schutzmaßnahmen gegen Subdomain-Takeover kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Subdomain-Takeover?
Übliche alternative Bezeichnungen: Dangling-CNAME-Takeover, Dangling-DNS-Takeover.