28.06.2021 09:09 |

TU Wien warnt

Subdomains bergen Sicherheitsrisiko für Websites

Das Internet ist voller Gefahren: Sensible Daten können geleakt werden, bösartige Webseiten können Hackern den Zugriff auf private Computer ermöglichen. Das Cybersecurity-Team der TU Wien hat nun eine neue wichtige Sicherheitslücke aufgedeckt, die bisher übersehen worden war: Mit bestimmten Tricks ist es möglich, über einzelne Subdomains großer Websites über diese die Kontrolle zu übernehmen. Und wenn das gelinge, eröffneten sich neue Sicherheitslücken, die auch Personen in Gefahr brächten, die einfach nur die eigentliche Webseite verwenden wollten, warnten die Experten am Montag.

Artikel teilen
Drucken
Kommentare
0

„Auf den ersten Blick könnte man meinen, das Problem sei wohl nicht so schlimm“, sagt Marco Squarcina vom Institut für Logic und Computation der TU Wien. „Schließlich könnte man glauben, dass man sich zu einer Subdomain nur dann Zugang verschaffen kann, wenn man Administrationsrechte für die Webseite erhalten hat, aber das ist ein Irrtum.“

Oft verweist eine Subdomain nämlich auf eine andere Webseite, die physisch auf ganz anderen Servern gespeichert ist. Vielleicht besitzt man die Webseite example.com und möchte einen Blog hinzufügen. Den will man aber nicht neu aufbauen, sondern stattdessen eine bereits bestehende Blog-Struktur einer anderen Webseite nutzen. Daher wird eine Subdomain, etwa blog.example.com, mit einer anderen Seite verknüpft. „Wer die Seite example.com nutzt und dort zum Blog weiterklickt, bemerkt nichts Verdächtiges“, sagt Marco Squarcina. „In der Adressleiste des Browsers steht die korrekte Subdomain blog.example.com, die Daten kommen nun aber von einer völlig anderen Seite.“

Verknüpfungen als Fallstricke
Was passiert aber nun, wenn die Verknüpfung eines Tages nicht mehr gültig ist? Vielleicht wird der Blog aufgelöst oder anderswo neu aufgebaut. Dann verweist die Verknüpfung von blog.example.com auf eine fremde Seite, die es nicht mehr gibt. In diesem Fall spricht man von „Dangling Records“ - lose Enden im Netz der Webseite, die ideale Angriffspunkte für Attacken sind. „Wenn solche Dangling Records nicht rasch beseitigt werden, dann kann jemand dort seine eigene Webseite anlegen, die dann unter sub.example.com angezeigt wird“, so Squarcinas Kollege Mauro Tempesta. „Was immer man mit dieser Seite macht, wird dann auf sub.example.com angezeigt.“

Das sei deshalb ein Problem, weil Webseiten unterschiedliche Sicherheitsregeln für unterschiedliche Bereiche des Internets anwendeten. Die eigenen Subdomains werden demnach normalerweise als „sicher“ eingestuft - auch wenn sie in Wahrheit von außerhalb kontrolliert werden. So kann man etwa über die Subdomain auf Cookies zugreifen, die von der Hauptseite bei Usern platziert wurden - im schlimmsten Fall könne dann ein Eindringling vorgeben, ein anderer User zu sein und in dessen Namen illegale Aktionen ausführen.

Erschreckend häufiges Problem
Das Team der TU Wien untersuchte gemeinsam mit der italienischen Universität Ca‘ Foscari, wie häufig dieses Problem auftritt: „Wir untersuchten 50.000 der meistbesuchten Seiten der Welt und fanden 26 Millionen Subdomains“, sagt Squarcina. „Auf 887 dieser Seiten fanden wir Sicherheitslücken, auf insgesamt 1520 vulnerable Subdomains.“ Unter den verwundbaren Seiten waren einige der berühmtesten Webseiten überhaupt, wie etwa cnn.com oder harvard.edu. Universitätsseiten waren besonders häufig betroffen, weil sie normalerweise eine besonders große Zahl von Subdomains haben.

„Wir kontaktierten alle verantwortlichen Personen. Trotzdem wurde das Problem sechs Monate später immer noch erst auf 15 Prozent dieser Subdomains behoben“, erläutert Squarcina. „Grundsätzlich wäre es nicht schwer, diese Schwachstellen zu beheben. Wir hoffen, dass wir mit unserer Arbeit mehr Bewusstsein für diese Sicherheitslücke schaffen können."

 krone.at
krone.at
Kommentare

Liebe Leserin, lieber Leser,

die Kommentarfunktion steht Ihnen ab 6 Uhr wieder wie gewohnt zur Verfügung.

Mit freundlichen Grüßen
das krone.at-Team

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Montag, 04. Juli 2022
Wetter Symbol