Gefahr aus dem internetten Nebenwohnsitz
TU-Wien und italienische Ca' Foscari Universität decken Sicherheitslücke bei Webseiten auf. Subdomains können ein unbemerktes Einfallstor für ungebetene Besucher bilden.
(red/mich) Das Internet kann immer öfter auch Gefahren beinhalten: Hacker erschleichen sich Zugriff auf Computer und wichtige IT-Systeme, Daten können gestohlen werden. Das Cybersecurity-Team der TU-Wien hat nun eine neue Sicherheitslücke aufgedeckt, die bisher mehrheitlich nicht im Mittelpunkt der Aufmerksamkeit stand. Große Webseiten haben oft viele Subdomains und mit bestimmten Tricks ist es möglich, die Kontrolle über einzelne dieser Subdomains zu übernehmen.
Wenn das gelingt, eröffnen sich neue Sicherheitslücken, die auch Personen in Gefahr bringen, die einfach nur die eigentliche Webseite verwenden wollen. Die TU-Forscher analysierten, welche Attacken dadurch möglich werden und zudem, wie verbreitet das Problem eigentlich ist: 50.000 der weltweit wichtigsten Webseiten wurden untersucht, 1.520 vulnerable Subdomains konnten dabei entdeckt werden, so die TU. Beim letzten USENIX Security Symposium (Anm. wichtige internationale Cybersecurity-Veranstaltung) wurden nun die Ergebnisse publiziert.
Dangling Records oder Verknüpfungen als Fallstricke
„Auf den ersten Blick könnte man meinen, das Problem sei wohl nicht so schlimm. Der Zugang zu einer Subdomain geht ja nur über die Administrationsrechte für die Webseite - aber das ist ein Irrtum“, sagt Marco Squarcina vom Institut für Logic und Computation der TU-Wien. Oft verweist eine Subdomain nämlich auf eine andere Webseite, die physisch auf ganz anderen Servern gespeichert ist.
Etwa die Webseite example.com und da soll nun ein Blog zugefügt werden - jedoch nicht neu, sondern mittels Nutzung einer bereits bestehenden Blog-Struktur einer anderen Webseite. Daher wird eine Subdomain, etwa blog.example.com mit einer anderen Seite verknüpft. „Wer die Seite example.com nutzt und dort zum Blog weiterklickt, bemerkt nichts Verdächtiges“, so Squarcina. „In der Adressleiste steht die korrekte Subdomain blog.example.com, die Daten kommen nun aber von einer völlig anderen Seite.“
Unterschiedliche Sicherheitsregeln für unterschiedliche Bereiche
Was passiert aber nun, wenn die Verknüpfung eines Tages nicht mehr gültig ist? Vielleicht wird der Blog aufgelöst oder anderswo neu aufgebaut. Dann verweist die Verknüpfung auf eine fremde Seite, die es nicht mehr gibt. In diesem Fall spricht man vom sogenannten „Dangling Records“ – lose Enden im Netz der Webseite, die ideale Angriffspunkte für Attacken sind. „Wenn solche Dangling Records nicht rasch beseitigt werden, dann kann dort eine eigene Webseite angelegt werden und die wird dann unter sub-example.com angezeigt“, sagt Mauro Tempesta vom Cybersecurity-Team der TU Wien. „Was immer mit dieser Seite passiert, wird dann auf sub.example.com angezeig“, erläutert Tempesta.
Das sei problematisch, weil „Webseiten unterschiedliche Sicherheitsregeln für unterschiedliche Bereiche des Internets anwenden“. Die eigenen Subdomains werden normalerweise als „sicher“ eingestuft – auch wenn sie in Wahrheit von außerhalb kontrolliert werden. So kann etwa über die Subdomain auf Cookies zugegriffen werden, die von der Hauptseite bei Usern platziert wurden – und „ein Eindringling vorgeben, ein anderer User zu sein und in dessen Namen illegale Aktionen ausführen.“
Mehr Bewusstsein für ein häufiges Problem
Das Team der TU-Wien (Marco Squarcina, Mauro Tempesta, Lorenzo Veronese, Matteo Maffei und der Uni Ca’ Foscari (Stefano Calzavara), untersuchte 50.000 der meistbesuchten Seiten der Welt und fand 26 Millionen Subdomains. „Auf 887 dieser Seiten fanden wir Sicherheitslücken, auf insgesamt 1.520 vulnerablen Subdomains“, so Marco Squarcina. Unter den verwundbaren Seiten waren sehr bekannte Webseiten wie etwa cnn.com oder harvard.edu. Universitätsseiten waren besonders häufig betroffen, weil sie normalerweise eine besonders große Zahl von Subdomains haben.
„Wir kontaktierten alle verantwortlichen Personen. Trotzdem war das Problem sechs Monate später erst auf 15 Prozent dieser Subdomains behoben“, sagt Marco Squarcina. „Grundsätzlich wäre es nicht schwer, diese Schwachstellen zu beheben. Wir hoffen, dass wir mit unserer Arbeit mehr Bewusstsein für diese Sicherheitslücke schaffen können“, so die Forscher.