Fehler in der Cloud für verwaltete DNS-Dienste ermöglichen Angreifern das Ausspähen von DNS-Verkehr

  • Cybersecurity-Forscher haben eine neue Klasse von Schwachstellen bei großen DNS-as-a-Service (DNSaaS)-Anbietern aufgedeckt, die es Angreifern ermöglichen könnten, sensible Informationen aus Unternehmensnetzwerken zu exfiltrieren.

    “Wir haben ein einfaches Schlupfloch gefunden, das es uns ermöglicht, einen Teil des weltweiten dynamischen DNS-Verkehrs abzufangen, der über verwaltete DNS-Anbieter wie Amazon und Google läuft”, so die Forscher Shir Tamari und Ami Luttwak von der Infrastruktur-Sicherheitsfirma Wiz.

    [Blocked Image: https://thehackernews.com/images/-UHcDw0TZuOc/YMt1nZpazaI/AAAAAAAA4Qs/d1jlOI8xheYWIFx_O8QJFzDxJI5tRuD7ACLcBGAsYHQ/s300-e100/free-ad-8-300.png]

    Die als “bodenlose Quelle wertvoller Informationen” bezeichnete Fundgrube enthält interne und externe IP-Adressen, Computernamen, Namen und Standorte von Mitarbeitern sowie Details zu den Webdomänen von Unternehmen. Die Ergebnisse wurden letzte Woche auf der Sicherheitskonferenz Black Hat USA 2021 vorgestellt.

    “Der Datenverkehr, der uns aus dem internen Netzwerkverkehr zugespielt wurde, liefert böswilligen Akteuren alle Informationen, die sie für einen erfolgreichen Angriff benötigen”, so die Forscher weiter. “Mehr noch, er gibt jedem eine Vogelperspektive auf das, was in Unternehmen und Regierungen passiert. Wir vergleichen dies mit einer Spionagefähigkeit auf der Ebene eines Nationalstaates – und es war so einfach, wie eine Domain zu registrieren.”

    [Blocked Image: https://thehackernews.com/images/-tSeXnY-flNM/YRO6I-WkzUI/AAAAAAAADgA/KhZYXKsZdJ0KeIz1FPbOW8W4Xp-pvlu2QCLcBGAsYHQ/s0/dns.jpg]

    Der Ausbeutungsprozess hängt von der Registrierung einer Domain auf Amazons DNS-Dienst Route53 (oder Google Cloud DNS) mit demselben Namen wie der DNS-Namensserver ab – der die Übersetzung (auch Auflösung genannt) von Domain- und Hostnamen in die entsprechenden Internetprotokoll (IP)-Adressen bereitstellt -, was zu einem Szenario führt, das die Isolierung zwischen den Mietern effektiv durchbricht und so den Zugriff auf wertvolle Informationen ermöglicht.

    Mit anderen Worten: Durch die Erstellung einer neuen Domäne auf der Route53-Plattform innerhalb des AWS-Namensservers mit demselben Namen und dem Verweis der gehosteten Zone auf das interne Netzwerk wird der dynamische DNS-Verkehr von den Endpunkten der Route53-Kunden gekapert und direkt an den betrügerischen Server mit demselben Namen gesendet, wodurch ein einfacher Weg zur Abbildung von Unternehmensnetzwerken geschaffen wird.

    [Blocked Image: https://thehackernews.com/images/-azy2o-jUy8I/YLy9OO3scVI/AAAAAAAA4BY/75hsq3eOBOQsJbLGxKzF4tx3ZGV010RVwCLcBGAsYHQ/s728-e100/ransomware_728.jpg]

    “Der von uns abgehörte dynamische DNS-Verkehr stammte von über 15.000 Organisationen, darunter Fortune-500-Unternehmen, 45 US-Regierungsbehörden und 85 internationale Regierungsbehörden”, so die Forscher. “Die Daten enthielten eine Fülle wertvoller Informationen wie interne und externe IP-Adressen, Computernamen, Mitarbeiternamen und Bürostandorte.”

    Während Amazon und Google die Probleme inzwischen behoben haben, hat das Wiz-Forschungsteam auch ein Tool veröffentlicht, mit dem Unternehmen testen können, ob ihre internen DDNS-Updates an DNS-Anbieter oder bösartige Akteure weitergegeben werden.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com