Subdomain-Hijacking stellt ein besorgniserregendes Szenario dar, bei dem Angreifer die Kontrolle über Webinhalte von Organisationen übernehmen können.
Durch schlecht gewartete DNS Einträge können Hacker Webseiten oder Teile von Webseiten übernehmen. Dies ermöglicht Angreifern zum Beispiel die Verbreitung von Schadsoftware und Desinformationen oder die Durchführung Phishing-Angriffen. Der rasante Anstieg derartiger Bedrohungsszenarien sowie die immer intensivere Nutzung von Cloud-Diensten verstärkt das Ausmaß dieser Schwachstelle.
Insgesamt konnte das auf IT-Security spezialisierte Unternehmen Certitude Consulting in einer aktuellen Forschungsarbeit mehr als 1.000 von der Schwachstelle betroffene Organisationen identifizieren. Und das ist nur die Spitze des Eisbergs. Es gab derartige Subdomain-Hijacking-Angriffe bereits bei Behörden im DACH-Raum.
Subdomain-Hijacking: Bewusstsein schärfen
Um potenziellen Angriffen vorzubeugen und das öffentliche Bewusstsein für diese weit verbreitete Sicherheitslücke zu schärfen, hat haben die Researcher proaktiv die Kontrolle über Websites besonders anfälliger Organisationen übernommen und sie darüber informiert. Darunter sind Regierungen, politische Parteien, renommierte Universitäten und große Medien. Aus Deutschland fanden sich Namen von bekannten Versicherungs- und Tabakkonzerne auf der Liste betroffener Organisationen.
Certitude Consulting empfiehlt allen Organisationen ihre DNS-Einträge regelmäßig zu überprüfen und Cloud-Ressourcen erst zu deaktivieren, nachdem die zugehörigen DNS-Einträge entfernt wurden. In den meisten Fällen könnte die Übernahme von Subdomains durch Cloud-Dienste effektiv verhindert werden, indem der Domain-Inhaber durch den Cloud-Provider überprüft und zuvor verwendete Identifikatoren nicht sofort zur Registrierung freigegeben werden. Daher werden auch Cloud-Service-Anbieter dazu aufgefordert, solche Schutzmechanismen zu implementieren.