Registrierungsfähige Domains und DNS spielen eine entscheidende Rolle bei der Schaffung von Online-Identität und Vertrauen, aber ihre Bedeutung wird oft als selbstverständlich angesehen. Bei der Einrichtung neuer Dienste werden Aktualisierungen von Datensätzen oft übersehen, sodass sich veraltete Einträge ansammeln. Da die Infrastrukturteams zunehmend überlastet sind, werden Dienste möglicherweise fälschlicherweise ohne ordnungsgemäße Bereinigung abgeschaltet, wodurch eine Flut von Datensätzen zurückbleibt. Diese verwaisten Einträge delegieren weiterhin Vertrauen im Namen Ihres Unternehmens, oft notwendigerweise und manchmal mit einem erhöhten Sicherheitsrisiko
Dies führt zu einer Abweichung der DNS-Konfiguration – was sich auf die allmählichen Änderungen oder Inkonsistenzen in den DNS-Einstellungen bezieht, die im Laufe der Zeit aufgrund manueller Aktualisierungen, vernachlässigter Wartung oder Fehlkonfigurationen auftreten – und zu erheblichen Risiken für die Cybersicherheit und das Unternehmen im Allgemeinen. Anfang des Jahres haben wir unseren Leitfaden zur SubdoMailing-Kampagne veröffentlicht, in dem Bedrohungsakteure SPF-Einträge missbrauchten, um den Versand von Millionen von E-Mails zu autorisieren, die als legitime Domains und Subdomains getarnt waren.
Zusätzlich dazu, dass Angreifer Ihre legitimen Domains imitieren können, können übrig gebliebene DNS-Einträge dazu führen, dass Sie anfällig für Domain-Übernahmen sind, die für eine Reihe von Angriffen missbraucht werden können, darunter Diebstahl von Anmeldedaten, Phishing, Verunstaltung und Verbreitung von Malware – und das alles unter dem Deckmantel der vertrauenswürdigen Domains Ihres Unternehmens.
In diesem Blog werden wir eine bestimmte Art von Bedrohung besprechen, die sich aus nicht verwalteten DNS-Einträgen ergibt: das Sammeln von Cookies.
Wie ein einzelner verwaister DNS-Eintrag zu großen Problemen führen kann
Example.com ist eine Plattform, die aus mehreren Produkten und Funktionen unter Subdomains besteht, die alle dasselbe angemeldete Cookie verwenden – eine gängige, aber unsichere Praxis, die durch Browsereinstellungen unbeabsichtigt erleichtert wird.
Ein Angreifer bemerkt, dass eine Subdomain nicht mehr verwendet wird, aber immer noch einen verwaisten CNAME hat, der auf den zuvor genutzten gehosteten Dienst verweist. Da dieser Dienst noch keine Überprüfung der Eigentümerschaft implementiert hat – ein häufiges Versäumnis selbst bei den größten Anbietern – fordert der Angreifer ihn zurück und übernimmt damit effektiv die Subdomain.
Der Angreifer startet dann eine Kampagne in den sozialen Medien, die sich an die Follower der Plattform richtet und sie auf die kompromittierte Subdomain lockt, um ihre gespeicherten Cookies zu sammeln. Benutzer, die noch nicht angemeldet sind, werden zum legitimen Anmeldeportal weitergeleitet. Mit diesen Cookies kann sich der Angreifer nun als Benutzer auf der Plattform ausgeben.
Zu den betroffenen Benutzern gehört ein Administrator der Plattform, der dem Angreifer vollen Zugriff auf alle Daten gewährt. Der Angreifer kann die Daten dann an illegale und böswillige Akteure verkaufen, das Unternehmen erpressen, um den Verstoß geheim zu halten, oder einzelne Benutzer mit kompromittierenden Informationen erpressen, die in den exfiltrierten Daten gefunden wurden.
Dies mag zwar wie ein extremes Beispiel erscheinen, ist jedoch eine reale Bedrohung, die auf eine schlechte Verwaltung von Domain-Namen und DNS-Einträgen zurückzuführen ist, eine oft schwierige, aber entscheidende Aufgabe im Bereich der Cybersicherheit.
Domain-Management: Ein komplexer Prozess
Bevor er als Kundeningenieur zu Red Sift kam, war Antony als Informationssicherheitsmanager bei einem Unternehmen tätig, das im Laufe von Jahren der Fusionen und Übernahmen Hunderte von Domains angesammelt hatte. Jede Übernahme brachte ihre eigene einzigartige Sammlung von Unternehmens-, Produkt-, Marken- und Marketing-Domains mit sich. Wie bei den meisten Unternehmen waren alle Domains auf automatische Verlängerung eingestellt, aber da es keinen regelmäßigen Prozess zur Überprüfung gab, welche Domains noch benötigt wurden, wuchs der Bestand unkontrolliert weiter an.
Ein Projekt, das Antony leitete, bestand darin, alle Domains und DNS-Einträge der Organisation zu inventarisieren, alle noch unter diesen Domains verwendeten Assets zu identifizieren und nicht mehr benötigte Einträge und Domains zu bereinigen.
Dieser Prozess nahm über sechs Monate unzählige Arbeitsstunden in Anspruch und umfasste:
- das Auffinden aller Domains bei mehreren Registraren,
- das Sammeln aller DNS-Zonen,
- die Überprüfung jedes Eintrags,
- die Kategorisierung und Priorisierung von Einträgen,
- Ermittlung der zuständigen Kontakte, da viele der ursprünglichen Antragsteller das Unternehmen im Laufe der Jahre verlassen hatten, und
- Abstimmung mit den Beteiligten, um zu bestätigen, welche Assets sicher bereinigt oder migriert werden konnten.
Wie OnDMARC die DNS- und Domainverwaltung unterstützt
Um die bevorstehende Herausforderung zu bewältigen, führte Antony Red Sift OnDMARC im Unternehmen ein. OnDMARC vereinfacht die Verwaltung von DMARC-, SPF- und DKIM-Datensätzen und stellt die Zustellbarkeit von E-Mails im gesamten Unternehmen sicher. Mit OnDMARC konnte Antony leicht feststellen, welche Domains noch aktiv für den Versand von E-Mails genutzt wurden, die für den Versand dieser E-Mails verwendeten Systeme erkennen und veraltete Quellen, die nicht mehr benötigt wurden, bereinigen, wodurch für die meisten Domains des Unternehmens schnell „p=reject“ erreicht wurde.
Seitdem hat Red Sift OnDMARC DNS Guardian eingeführt, das Certificate Transparency-Protokolle (CT-Protokolle) und andere proprietäre Quellen verwendet, um automatisch und kontinuierlich verwaiste DNS-Einträge und gekaperte Subdomains zu identifizieren.
Mit DNS Guardian wäre Antony sofort auf die Probleme mit dem höchsten Risiko aufmerksam gemacht worden, sodass er sich darauf konzentrieren konnte, kritische Schwachstellen so schnell wie möglich zu beheben und das Risiko oder die Auswirkungen potenzieller Exploits zu minimieren.
Melden Sie sich noch heute an, um mehr über Red Sift OnDMARC zu erfahren, jetzt mit DNS Guardian!
Source: Red Sift-Blog
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH
Julian Wulff, Director Cyber Security Central Europe at Red Sift
Bild/Quelle: https://depositphotos.com/de/home.html