Sicherheitsforscher übernehmen Websites von Regierungen, Parteien, Universitäten und Medien

Das auf IT-Sicherheit spezialisierte Wiener Beratungsunternehmen Certitude Consulting warnt vor Desinformations- und Phishingkampagnen. Verwaiste DNS-Einträge ermöglichen Angreifern, auf Subdomains gehostete Websites von renommierten Organisationen zu kapern („Subdomain Hijacking“) und damit Schadsoftware und Falschinformationen in fremdem Namen zu verbreiten. Auch das Stehlen von Zugangsdaten werde dadurch erleichtert.

Insgesamt konnte Certitude Consulting mehr als 1.000 von der Schwachstelle betroffene Organisationen identifizieren. “Und das ist nur die Spitze des Eisbergs”, unterstreicht Marc Nimmerrichter, geschäftsführender Gesellschafter von Certitude Consulting. Um Angriffe zu verhindern und die Öffentlichkeit vor dieser weit verbreiteten Schwachstelle zu warnen, haben Sicherheitsforscher von Certitude Consulting die Websites von besonders gefährdeten Organisationen selbst übernommen und darauf eine Warnmeldung veröffentlicht. „Mit der Veröffentlichung möchten wir die stark wachsende Gruppe an Organisationen warnen, deren DNS-Einträge auf verwaiste Cloudressourcen zeigen, wodurch sogenannte Subdomain Hijacking Angriffe möglich werden. Wir haben derartige Angriffe bereits bei österreichischen Behörden beobachtet“, erklärt Marc Nimmerrichter.

Regierungen, FPÖ, Standford University und CNN sind betroffen

Die Sicherheitsforscher haben bei Wordpress.com gehostete Blogs des australischen Außenministeriums, des britischen Wetterdienstes, der US-Bundesstaaten Rhode Island und Nebraska sowie der Varobank aus den USA übernommen. Zudem wurden AWS S3 Buckets, auf die DNS-Einträge des zur deutschen Ergo Group gehörenden Versicherungsunternehmens Nexible und des ebenfalls in Deutschland ansässigen Tabakkonzerns Dannemann verweisen, von Certitude Consulting reserviert. Darüber hinaus wurden die bei Buzzsprout betriebenen Podcast-Plattformen der Freiheitlichen Partei Österreichs (FPÖ), des an der Nasdaq gelisteten Technologieunternehmens Netscout Systems und des US-Versicherungskonzerns Penn Mutual übernommen. Für die auf Wordpress oder Buzzsprout gehosteten Websites wurde auch ein gültiges TLS-Zertifikat ausgestellt, das den Anschein der Legitimität der Inhalte weiter verstärkt.

Über ein ähnliches Vorgehen konnte eine Weiterleitung der Subdomains erzwungen werden. Ein gültiges TLS-Zertifikat wird dabei nicht ausgestellt. Auf diese Weise übernahm Certitude Consulting Websites des Nachrichtensenders CNN, der Regierung der kanadischen Provinz Neufundland und Labrador, der internationalen Nichtregierungsorganisation Caritas, der in den USA ansässigen Bankfive, der University of California, der University of Pennsylvania sowie der Stanford University und leitete sie auf einen neu erstellten Wordpress-Blog weiter.

Cloud Provider müssen Verantwortung übernehmen

Die Sicherheitsforscher nehmen nicht nur die Kundinnen und Kunden, sondern auch die Cloud Provider in die Pflicht. „Das Kapern von Subdomains könnte in den meisten Fällen von den Clouddiensten effektiv und lückenlos verhindert werden, indem sie den Domänenbesitz verifizieren und bereits zuvor genutzte Kennungen nicht sofort wieder zur Registrierung freigeben. Microsoft hat dies für Azure Storage Accounts bereits vor einigen Monaten umgesetzt. Andere Anbieter wie Amazon Web Services müssen ihre Hausaufgaben erst machen und die Verantwortung übernehmen“, analysiert Florian Schweitzer, Experte für Cloud Security bei Certitude Consulting. Das Prinzip der geteilten Verantwortung („Shared Responsibility Model“) für die Betriebsmodelle Software as a Service (SaaS) und Platform as a Service (PaaS) sieht die Zuständigkeit für Netzwerk-Flows bei den Cloud Providern. Lediglich im Bereich Infrastructure as a Service (IaaS) liege die Verantwortung klar bei den Kundinnen und Kunden.

Betroffene Organisationen können sich selbst schützen

Certitude Consulting empfiehlt allen Organisationen, Cloud Ressourcen erst zu deaktivieren, nachdem die dazugehörigen DNS-Einträge entfernt wurden. Zusätzlich sollten DNS-Einträge in regelmäßigen Abständen überprüft werden.

Pressekontakt: