Menü
Security

Triviale Hoster-Sicherheitslücken gefährden 7 Millionen Domains

Fünf der weltgrößten Webhoster hatten die Konten ihrer Kunden nur ungenügend gegen Angriffe geschützt.

Von
vorlesen Drucken Kommentare lesen 58 Beiträge
Triviale Hoster-Sicherheitslücken gefährden 7 Millionen Domains

(Bild: Pixabay )

Fünf der weltweit größten Webhoster hatten Schwachstellen in ihren Webseiten, die Angreifer mit wenig Mühe hätten missbrauchen können, um dort registrierte Nutzerkonten zu übernehmen. Angreifer hätten so schnell an die dazugehörigen Domains und Webseiten gelangen und diese kapern oder manipulieren können. Über die betroffenen Hoster DreamHost, Bluehost, Hostgator, OVH und iPage sind insgesamt mehr als sieben Millionen Domains registriert.

Die meisten der Sicherheitslücken lassen sich in den Kategorien Cross-Site Request Forgery (CSRF) und Cross-Site Scripting (XSS) zusammenfassen. Bei vielen der Hostern konnte ein Angreifer eine eigene Webseite mit Links erstellen, die zwar harmlos aussehen, im Hintergrund allerdings per JavaScript auf das Konto des Opfers bei seinem Hoster zugreifen. Ist das Opfer bei seinem Hoster angemeldet und klickt auf den Link, kann der Angreifer entweder das Nutzerkonto direkt manipulieren oder eine Passwort-Rücksetzung anschmeißen, bei der er die E-Mail-Adresse des Opfers durch seine eigene ersetzt. So kann er dann für das Opfer unbemerkt dessen Passwort ändern und sich in das Nutzerkonto beim Hoster einschleichen, während der eigentliche Kontobesitzer ausgesperrt ist.

Die Lücken sind deswegen ziemlich brisant, weil sie sehr einfach auszunutzen sind. Hinzu kommt, dass Hosting-Kunden oft einfache Ziele für derart Angriffe sind, da es in der Regel recht leicht ist zu einer Ziel-Domain eine passende Admin-Adresse herauszufinden – obwohl dies in Europa durch Vorgaben im Rahmen des EU-Gesetzes DSGVO um einiges schwieriger geworden ist. Hat ein Angreifer eine entsprechende Mail-Adresse, kann er dem Domain-Admin Phishing-Mails schicken und ihn auf eine fingierte Webseite locken. Eine gut umgesetzte Phishing-Mail dieser Art könnte auch durch Social-Engineering-Techniken sicherstellen, dass das Opfer bereits bei seinem Hoster angemeldet ist.

Der Entdecker der Sicherheitslücken, Paulos Yibelo, beschreibt in einem Blog-Artikel ausführlich, wie er es schaffte, den zum Teil vorhandenen CSRF-Schutz der Hoster-Webseiten zu umgehen. Die meisten seiner Angriffs-Tricks funktionierten außerdem, weil die betroffenen Webhoster beim Umgang mit Logins und Profil-Änderungen aktuelle Sicherheits-Standards nicht einhielten. Sie fragten zum Beispiel bei bestimmten Änderungen am Kundenkonto nicht nach dem aktuellen Passwort des Nutzers. Laut Yibelo haben alle Hoster außer OVH die Sicherheitslücken bereits vor seiner Veröffentlichung geschlossen – OVH hatte ihm auf seine Anfragen nicht geantwortet. Obwohl in diesem Fall nur Hoster in den USA betroffen waren, ist es immerhin denkbar, dass bei großen europäischen Hostern ähnliche Sicherheitslücken in den Systemen schlummern. (Fabian A. Scherschel) / (fab)