INNOVATIVE INDUSTRIE
DIE GEFAHR AUS DER SUBDOMAIN
Das Internet ist voller Gefahren: Sensible Daten können geleakt werden und bösartige
Webseiten können Hackern den Zugriff auf private Computer ermöglichen.
Alle Risiken hatte man aber noch nicht auf dem Schirm. Das Cybersecurity-Team
der TU Wien hat eine Sicherheitslücke aufgedeckt, die bisher übersehen wurde.
JULI/AUGUST 2021 | INNOVATIONS • NEW BUSINESS 3
Foto: stories/Freepik
Große Webseiten haben oft viele Subdomains – so
könnte etwa „sub.example.com“ eine Subdomain
der Webseite „example.com“ sein. Mit bestimmten
Tricks ist es möglich, die Kontrolle über einzelne
dieser Subdomains zu übernehmen. Und wenn das gelingt,
eröffnen sich neue Sicherheitslücken, die auch Personen in
Gefahr bringen, die einfach nur die eigentliche Webseite (in
diesem Beispiel: example.com) verwenden wollen.
DANGLING RECORDS: VERKNÜPFUNGEN ALS
FALLSTRICKE
„Auf den ersten Blick könnte man meinen, das Problem sei
wohl nicht so schlimm“, sagt Marco Squarcina vom Institut
für Logic und Computation der TU Wien. „Schließlich könnte
man glauben, dass man sich zu einer Subdomain nur dann
Zugang verschaffen kann, wenn man Administrationsrechte
für die Webseite erhalten hat, aber das ist ein Irrtum.“
Oft verweist eine Subdomain nämlich auf eine andere Webseite,
die physisch auf ganz anderen Servern gespeichert ist. Vielleicht
besitzt man die Webseite example.com und möchte einen
Blog hinzufügen. Den will man aber nicht neu aufbauen, sondern
stattdessen eine bereits bestehende Blog-Struktur einer anderen
Webseite nutzen. Daher wird eine Subdomain, etwa blog.example.
com, mit einer anderen Seite verknüpft. „Wer die Seite
example.com nutzt und dort zum Blog weiterklickt, bemerkt
nichts Verdächtiges“, sagt Marco Squarcina. „In der Adressleiste
des Browsers steht die korrekte Subdomain blog.example.com,
die Daten kommen nun aber von einer völlig anderen Seite.“
Was passiert aber nun, wenn die Verknüpfung eines Tages
nicht mehr gültig ist? Vielleicht wird der Blog aufgelöst oder
anderswo neu aufgebaut. Dann verweist die Verknüpfung von
blog.example.com auf eine fremde Seite, die es nicht mehr gibt.
In diesem Fall spricht man von „Dangling Records“ – lose
Enden im Netz der Webseite, die ideale Angriffspunkte für
Attacken sind.
„Wenn solche Dangling Records nicht rasch beseitigt werden,
dann kann jemand dort seine eigene Webseite anlegen, die
dann unter sub.example.com angezeigt wird“, sagt Mauro
Tempesta, ebenfalls Mitglied des Cybersecurity-Teams der TU
Wien. „Was immer man mit dieser Seite macht, wird dann auf
sub.example.com angezeigt.“
Das ist deshalb ein Problem, weil Webseiten unterschiedliche
Sicherheitsregeln für unterschiedliche Bereiche des Internets
anwenden. Die eigenen Subdomains werden normalerweise
als „sicher“ eingestuft – auch wenn sie in Wahrheit von außerhalb
kontrolliert werden. So kann man etwa über die Subdomain
auf Cookies zugreifen, die von der Hauptseite bei Usern platziert
wurden – im schlimmsten Fall kann dann ein Eindringling
vorgeben, ein anderer User zu sein und in dessen Namen
illegale Aktionen ausführen.
ERSCHRECKEND HÄUFIGES PROBLEM
„Wir untersuchten 50.000 der meistbesuchten Seiten der Welt
und fanden 26 Millionen Subdomains“, sagt Marco Squarcina.
„Auf 887 dieser Seiten fanden wir Sicherheitslücken, auf insgesamt
1.520 vulnerablen Subdomains.“ Unter den verwundbaren
Seiten waren einige der berühmtesten Webseiten überhaupt,
wie etwa cnn.com oder harvard.edu. Universitätsseiten
waren besonders häu g betroffen, weil sie normalerweise eine
besonders große Zahl von Subdomains haben.
Wir kontaktierten alle verantwortlichen Personen. Trotzdem
wurde das Problem sechs Monate später immer noch erst auf
15Prozent dieser Subdomains behoben“, sagt Marco Squarcina.
„Grundsätzlich wäre es nicht schwer, diese Schwachstellen
zu beheben. Wir hoffen, dass wir mit unserer Arbeit mehr
Bewusstsein für diese Sicherheitslücke schaffen können.“ BO