Black Hat: DNS-as-a-Service könnte Netzwerkinfrastruktur verraten

Durch einen Trick konnten Sicherheitsforscher Informationen über die Netzwerkinfrastruktur der Kunden eines DNS-as-a-Service-Anbieters erlangen.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 12 Beiträge
BlackHat DNS Vortrag
Von
  • Alexander Königstein

Sicherheitsforscher konnten interne Computernamen und IP-Adressen von Kunden eines DNS-as-a-Service-Anbieters erlangen. Google und Amazon bieten DNS als externen Dienst an. Die Kunden verwalten ihre Domains selbst, aber die Plattform prüfe nicht, ob diese Domains bereits registriert sind, teilten die Forscher mit. Sie registrierten bei Amazon Route 53 eine Domain mit dem Namen eines Nameserver von Amazon, was zu einem Informationsleck führte.

Die DNS-Auflösung im Unternehmen kann von DNS-as-a-Service-Anbietern übernommen werden. Die Kunden können DNS-Einträge selbst ändern. Dabei wurde laut den Forschern Shir Tamari und Ami Luttwak der Sicherheitsfirma Wiz nicht ausreichend auf gesperrte Domainnamen geachtet. Sie stellten ihre Ergebnisse auf der Black Hat Konferenz in den USA vor.

Die Forscher enthüllten auf der BlackHat-Konferenz, wie sie auf diese DNS-Schwachstelle gestoßen sind. Sie berichteten, dass es bei großen Providern wie Google und Amazon möglich war die Domain deren Nameserver selbst zu registrieren und mit ihrer eigenen IP-Adresse zu verknüpfen.

Die Schwachstelle soll zu einem Informationsleck der verbundenen Unternehmensnetzwerken geführt haben, sodass interne DNS-Updates bei den Sicherheitsforschern landeten. Hier lasen sie einige Informationen wie IPs und Hostnames aus internen Netzwerken mit - wusste aber zuerst selbst nicht wieso.

Der Inhalt eines fehlgeleiteten Datenpakets.

(Bild: Screenshot)

Jeder Anbieter von DNS-Diensten kann davon betroffen sein. Nachdem man eine Domain gekauft hat, wird ihr automatisch ein Shared Nameserver zugewiesen. Dieser gemeinsame, geteilte Server enthält auch die Domains anderer Kunden. Doch welche Domains hinzugefügt werden, wäre nicht näher geprüft worden.

Die Sicherheitsforscher kamen auf die Idee den Namen des Nameservers mit einer IP-Adresse unter ihrer Kontrolle zu verknüpfen. Sie wählten ns-852.awsdns-42.net aus und haben die Domain so oft wieder registriert, bis sie auf dem Nameserver mit dem gleichen Namen landeten. Diesem Domaineintrag wiesen sie ihre eigene IP zu.

Der Name des Nameservers konnte auf dem selben Nameserver registriert werden.

(Bild: Screenshot)

Danach wären fremde DNS-Pakete auf ihrem Server gelandet. Sie fragte sich, wieso dynamischer DNS-Verkehr (DynDNS) überhaupt bei ihrem Server ankam. Dieses, an DNS angelehnte Nachrichtenprotokoll, kümmert sich um die Zuordnung von Computername und IP-Adresse, sodass der Computer immer über denselben Hostnamen erreichbar ist, auch wenn sich dessen IP ändert. Das findet eigentlich intern statt.

Um diese IP-Updates zu senden, wird der primäre DNS-Server angefragt. Im Zusammenspiel mit einem externen DNS-Resolver wird die Auflösung wie bei jeder anderen externen Domain durchgeführt.

Wenn das DNS-Update an den Nameserver fehlschlägt, fragt Windows den Nameserver direkt an und bekommt die manipulierte Anwort gesendet.

(Bild: Screenshot)

DNS-Update-Requests beantworten die Nameserver aber gar nicht, teilten die Forscher mit. Jetzt käme die Besonderheit von Windows ins Spiel: Nachdem das Update der IP über DynDNS auf dem Nameserver fehlschlagen würde, fragt Windows den Nameserver direkt nach der IP zu seinem eigenen Domainnamen. Der Nameserver schaue in seiner Liste nach und fände auch einen Eintrag zu sich selbst, nämlich den, den die Forscher vorher dort eingetragen haben. Er antwortet mit der IP-Adresse der Sicherheitsforscher und Windows wiederholt den DNS-Update-Request an die manipulierte IP. Damit landeten die Pakete bei den Sicherheitsforschern.

Auf einer Weltkarte konnten sie die IPs eines Unternehmens zuordnen.

(Bild: Screenshot)

In den umgeleiteten Datenpaketen wären externe IP-Adressen und Computernamen von Systemen aus unterschiedlichen Unternehmen enthalten. Sie hätte darin 15.000 Unternehmen, darunter große Unternehmen der Fortune 500 und auch 130 (teilweise internationale) Regierungsbehörden entdecken können.

Durch die internen und externen IPs mit Computernamen hätten sie einen guten Überblick über aktive Computer der Unternehmen wie sie nur die NSA habe könne, teilte das Team mit. Über 1 Millionen Endpunkte schickten Pakete zu ihnen. 6% der IPv6 wären extern erreichbar gewesen und es liefen verschiedene Dienste wie Fernwartung und Dateifreigaben.

Die Forscher berichteten von einer einfachen Lösung für DNS-as-a-Service-Anbieter: Die Namen der eigenen Nameserver sollten bei der Registrierung verboten sein. Microsoft sah keine Schwachstelle in seinem Algorithmus und verweist auf die Fehlkonfiguration des DNS-Resolvers. In der Dokumentation erklären sie das Verhalten.

Das Forscherteam schlug vor, dass Unternehmen den Standardwert des SOA-Eintrags bei ihrem DNS-Provider ändern, sodass dynamische DNS-Anfragen nicht an externe Nameserver geschickt werden.

(ako)