Black Hat: Neuartiger DNS-Hack sorgt für vertrauliche Unternehmensdaten

  • Threatpost interviewt den CTO von Wiz über eine Sicherheitslücke, die kürzlich durch den DNS-Dienst von Amazon Route53 und Google Cloud DNS gepatcht wurde.

    LAS VEGAS – Amazon und Google haben einen Fehler im Domain Name Service (DNS) gepatcht, der es Angreifern ermöglichte, die vertraulichen Netzwerkeinstellungen von Unternehmen auszuspähen und dabei Computer- und Mitarbeiternamen sowie Bürostandorte und offengelegte Webressourcen zu enthüllen.

    Die Schwachstelle, die letzte Woche in einem Vortrag auf der Black Hat USA 2021 beschrieben wurde, gehört zu einer neuen Klasse von Schwachstellen, die große DNS-as-a-Service (DNSaaS)-Anbieter betreffen, so die Forscher der Cloud-Sicherheitsfirma Wiz.

    Ami Luttwak, Mitbegründer und CTO von Wiz, sagte, dass der Fehler es einem Angreifer ermöglicht, ein Ziel in noch nie dagewesener Weise auszukundschaften – nämlich jedes verwundbare Unternehmensnetzwerk, das versehentlich diese Art des Abhörens von Netzwerken zulässt.

    Während Amazon und Google den Fehler gepatcht haben, warnt Luttwak, dass das Problem wahrscheinlich weit verbreitet ist.

    Threatpost sprach mit Luttwak auf der Black Hat und in dem unten stehenden Video.

    Wiz enthüllte die Schwachstelle bei den DNSaaS-Anbietern Amazon Route53 und Google Cloud DNS, die beide den Fehler im Februar umgehend gepatcht haben.

    Das DNS-Schlupfloch ausnutzen

    “Wir haben ein einfaches Schlupfloch gefunden, das es uns ermöglichte, einen Teil des weltweiten dynamischen DNS-Verkehrs abzufangen, der über verwaltete DNS-Anbieter wie Amazon und Google läuft. Im Wesentlichen haben wir den internen Netzwerkverkehr von 15.000 Organisationen (einschließlich Fortune-500-Unternehmen und Regierungsbehörden) und Millionen von Geräten ‘abgehört'”, schrieb Wiz in einer technischen Analyse des Fehlers.

    Luttwak bezeichnet das, was er gefunden hat, als “Schlupfloch” innerhalb des Prozesses, der zur Handhabung des inzwischen veralteten dynamischen DNS in modernen DNS-Serverkonfigurationen verwendet wird.

    “Wir haben eine neue Domain auf der Route 53-Plattform mit demselben Namen wie ihr offizieller DNS-Server registriert. (Technisch gesehen haben wir eine neue ‘gehostete Zone’ innerhalb des AWS-Namensservers ns-1611.awsdns-09.co.uk erstellt und sie ‘ns-852.awsdns-42.net’ genannt)”, erklären die Forscher.

    Als Nächstes erlangten die Forscher die Kontrolle über die gehostete Zone, indem sie Tausende von Domänennamenservern auf denselben Namen wie den offiziellen DNS-Server von DNSaaS registrierten. “Wann immer ein DNS-Client diesen Nameserver über sich selbst abfragt (was Tausende von Geräten automatisch tun, um ihre IP-Adresse innerhalb ihres verwalteten Netzwerks zu aktualisieren – mehr dazu in einer Minute), geht dieser Datenverkehr direkt zu unserer IP-Adresse”, schrieb Wiz.

    Als Nächstes beobachteten die Forscher eine Flut von dynamischem DNS-Verkehr von Windows-Rechnern, die den “gekaperten Namensserver” über sich selbst abfragten. Insgesamt erstellten die Forscher ein Profil von 15.000 Organisationen (einige Fortune-500-Unternehmen), 45 US-Regierungsbehörden und 85 internationalen Regierungsbehörden.

    Fehlkonfiguration oder Schwachstelle?

    Die DNSaaS-Anbieter Route53 und Google Cloud DNS haben das Problem behoben, indem sie die Art von Nachahmerregistrierung, die ihren eigenen DNS-Server spiegelt, nicht zulassen.

    Was Microsoft betrifft, so sagten die Forscher, dass das Unternehmen dieses Problem als Fehlkonfiguration betrachtet.

    “Microsoft könnte eine globale Lösung anbieten, indem es seinen dynamischen DNS-Algorithmus aktualisiert. Als wir jedoch unsere Entdeckung an Microsoft meldeten, teilte man uns mit, dass es sich nicht um eine Schwachstelle handele, sondern um eine bekannte Fehlkonfiguration, die auftritt, wenn ein Unternehmen mit externen DNS-Auflösern arbeitet”, so die Forscher.

    Laut Luttwak können Unternehmen diese Art von DNS-Angriffen vermeiden, indem sie ihre DNS-Resolver richtig konfigurieren, damit dynamische DNS-Updates das interne Netzwerk nicht verlassen.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser bevorstehendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST an und finden Sie heraus, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/08/12152519/wiz-cto.png]

    Einige Teile dieses Artikels stammen aus:
    threatpost.com