Cybersecurity

Gefahr aus der Subdomain

Eine gefährliche Sicherheitslücke hat die TU Wien in Kooperation mit der italienischen Ca' Foscari Universität aufgedeckt: Wer sich Kontrolle über Subdomains von Webseiten erschummelt, kann Schaden anrichten.

Cybersecurity Hackerangriff TU Wien Ca'Foscari Universität

Beispiel für die Struktur einer Domain mit Subdomains.

Das Internet steckt voller Gefahren: Sensible Daten können geleakt werden, bösartige Webseiten können Hackern den Zugriff auf private Computer ermöglichen. Das Cybersecurity-Team der TU Wien hat nun eine neue Sicherheitslücke aufgedeckt, die bisher übersehen worden war: Große Webseiten haben oft viele Subdomains – so könnte etwa „sub.example.com“ eine Subdomain der Webseite „example.com“ sein. Mit bestimmten Tricks ist es möglich, die Kontrolle über einzelne dieser Subdomains zu übernehmen. Und wenn das gelingt, eröffnen sich neue Sicherheitslücken, die auch Personen in Gefahr bringen, die einfach nur die eigentliche Webseite (in diesem Beispiel: example.com) verwenden wollen.

Das Forschungsteam analysierte, welche Attacken dadurch möglich werden und analysierte außerdem, wie verbreitet das Problem ist: 50.000 der weltweit wichtigsten Webseiten wurden untersucht, 1.520 vulnerable Subdomains konnten dabei entdeckt werden. Das Team wurde zum 30. USENIX Security Symposium eingeladen, eine der prestigeträchtigsten wissenschaftlichen Konferenzen im Bereich Cybersecurity.

Dangling Records: Verknüpfungen als Fallstricke

„Auf den ersten Blick könnte man meinen, das Problem sei wohl nicht so schlimm“, sagt Marco Squarcina vom Institut für Logic und Computation der TU Wien. „Schließlich könnte man glauben, dass man sich zu einer Subdomain nur dann Zugang verschaffen kann, wenn man Administrationsrechte für die Webseite erhalten hat, aber das ist ein Irrtum.“ Oft verweist eine Subdomain nämlich auf eine andere Webseite, die physisch auf ganz anderen Servern gespeichert ist. Vielleicht besitzt man die Webseite example.com und möchte einen Blog hinzufügen. Den will man aber nicht neu aufbauen, sondern stattdessen eine bereits bestehende Blog-Struktur einer anderen Webseite nutzen. Daher wird eine Subdomain, etwa blog.example.com, mit einer anderen Seite verknüpft. „Wer die Seite example.com nutzt und dort zum Blog weiterklickt, bemerkt nichts Verdächtiges“, sagt Marco Squarcina. „In der Adressleiste des Browsers steht die korrekte Subdomain blog.example.com, die Daten kommen nun aber von einer völlig anderen Seite.“

Was passiert aber nun, wenn die Verknüpfung eines Tages nicht mehr gültig ist? Vielleicht wird der Blog aufgelöst oder anderswo neu aufgebaut. Dann verweist die Verknüpfung von blog.example.com auf eine fremde Seite, die es nicht mehr gibt. In diesem Fall spricht man von „Dangling Records“ – lose Enden im Netz der Webseite, die ideale Angriffspunkte für Attacken sind. „Wenn solche Dangling Records nicht rasch beseitigt werden, dann kann jemand dort seine eigene Webseite anlegen, die dann unter sub.example.com angezeigt wird“, sagt Mauro Tempesta (ebenfalls Cybersecurity, TU Wien). „Was immer man mit dieser Seite macht, wird dann auf sub.example.com angezeigt.“ Das ist deshalb ein Problem, weil Webseiten unterschiedliche Sicherheitsregeln für unterschiedliche Bereiche des Internets anwenden. Die eigenen Subdomains werden normalerweise als „sicher“ eingestuft – auch wenn sie in Wahrheit von außerhalb kontrolliert werden. So kann man etwa über die Subdomain auf Cookies zugreifen, die von der Hauptseite bei Usern platziert wurden – im schlimmsten Fall kann dann ein Eindringling vorgeben, ein anderer User zu sein und in dessen Namen illegale Aktionen ausführen.

Überaus häufiges Problem

Das Team, bestehend aus Marco Squarcina, Mauro Tempesta, Lorenzo Veronese, Matteo Maffei (TU Wien) und Stefano Calzavara (Ca’ Foscari), untersuchte, wie häufig dieses Problem auftritt: „Wir untersuchten 50.000 der meistbesuchten Seiten der Welt und fanden 26 Millionen Subdomains“, sagt Marco Squarcina. „Auf 887 dieser Seiten fanden wir Sicherheitslücken, auf insgesamt 1.520 vulnerablen Subdomains.“ Unter den verwundbaren Seiten waren einige der berühmtesten Webseiten überhaupt, wie etwa cnn.com oder harvard.edu. Universitätsseiten waren besonders häufig betroffen, weil sie normalerweise eine besonders große Zahl von Subdomains haben.

„Wir kontaktierten alle verantwortlichen Personen. Trotzdem wurde das Problem sechs Monate später immer noch erst auf 15 Prozent dieser Subdomains behoben“, sagt Marco Squarcina. „Grundsätzlich wäre es nicht schwer, diese Schwachstellen zu beheben. Wir hoffen, dass wir mit unserer Arbeit mehr Bewusstsein für diese Sicherheitslücke schaffen können.“

TU, Wien, Subdomain, Cybersecurity © TU Wien

Mauro Tempesta und Marco Squarcina, Cybersecurity-Team der TU Wien.