2 erfolgreiche Angriffe auf Top-Level-Domains

Scheinbar gab es in der vergangenen Woche gleich zwei erfolgreiche Angriffe auf TLD-Registrys – also die Organisationen die eine Top-Level-Domain verwalten. Für deutsche Domains ist dies z.B. die DeNIC.

Angriff auf Gandi

Am 7. Juli haben Angreifer mehr als 750 Domains die von einem Gandi-Partner verwaltet werden auf eine Webseite mit Malware zeigen lassen. Der Angriff zielte dabei nicht auf die Webseiten oder die Webserver selbst, sondern auf die Nameserver des Gandi-Partners. Laut Aussage von Gandi wurde dazu vermutlich das Login des Partners abgehört, da es sich wohl nicht um einen Angriff auf ein Konto selbst handelt. Auch geht Gandi davon aus, dass es keinen direkten Zugriff auf einen Server gegeben hat, da ausschließlich die Domains eines Partners betroffen waren.

Problematisch war jedoch, dass der Angriff selbst nicht bemerkt wurde. Erst nachdem Gandi einen entsprechenden Hinweis erhalten hatte wurde eine Untersuchung vorgenommen. Durch die Struktur des Domain-Name Systemes dauerte es letztendlich bis zu 12 Stunden für einzelne Domains, bis alle vorgenommenen Änderungen weltweit korrigiert waren.

Angriff auf .IO

Im Prinzip war dies keine echte Attacke sondern vielmehr eine Feststellung eines IT-Security-Mitarbeiters zur Sicherheit eines Transfer-Vorganges. Der Registrar der Top-Level Domain .IO hat die Verwaltung an Afilias abgegeben. Entgegen der üblichen Vorgehensweise, dabei auch die komplette DNS-Vollmacht zu übergeben, hatte sich die vorherige .IO-Registry dazu entschlossen 3 Domain-Name Server quasi “zu behalten”.

Ein Sicherheitsexperte hat bei einem Programm-Test mehrere Domains abgefragt – unter anderem die .IO-Nameserver – und dabei Antworten erhalten, die angaben dass diese Domains registriert werden könnten. Anschließend konnte er die Domains problemlos für sich registrieren.

Er versuchte umgehend die Registry zu kontaktieren, erhielt jedoch nur automatische Antworten. Letztendlich versuchte er einen telefonischen Kontakt – diese verwiesen ihn wieder nur auf einen Email-Kontakt. Um eine Reaktion zu erzwingen deaktivierte er die Nameserver, die ihm übertragen wurden, so dass andere anfragende Clients keine Antwort mehr erhielten.

Es dauerte noch etwa 24 Stunden bis Afilias die Registrierung rückgängig machte und alle DNS wieder aktivierte. Das Gefahrenpotential hier war immens – ein Angreifer wäre in der Lage gewesen, sämtliche IO-Domains auf einen Malware-Server umzuleiten und somit vielleicht Millionen PCs mit Schadsoftware zu infizieren.

In einem Statement sagte Afilias, dass bei einer TLD-Übergabe immer alle DNS-Vollmachten übergeben werden. Der Vorgang war daher nur möglich, weil der vorherige .IO-Registrar Zugriff auf einige der Haupt-DNS behalten wollte.

Leave a Reply

Your email address will not be published. Required fields are marked *