Dangling DNS: Ein verstecktes Sicherheitsrisiko, das Sie nicht ignorieren sollten

Viele Online-Angriffe lassen sich mithilfe von Software und bestimmten Tools abwehren. Bei „Dangling DNS“ sieht die Situation etwas anders aus und hängt vor allem mit fehlenden internen Prozessen innerhalb des Unternehmens sowie mit menschlichen Fehlern zusammen.

In diesem Artikel werden wir Prozesse im Zusammenhang mit Dangling DNS sowie einige Präventionsmechanismen erörtern.  

Was ist ein Dangling DNS?

Dangling DNS ist eine Schwachstelle, die auftritt, wenn DNS-Einträge auf eine entfernte oder nicht mehr genutzte Ressource verweisen. Gleichzeitig wird der DNS-Eintrag trotz der möglichen Löschung der Domain nicht gelöscht oder aktualisiert.

Diese Situation birgt Risiken, da ein Angreifer diese ausnutzen und die Ressource an einem nicht beanspruchten Ziel einrichten oder sogar die abgelaufene Ressource registrieren kann.

Wie entsteht ein Dangling DNS?

Beispiel 1:

Beginnen wir mit dem ersten Beispiel: Es handelt sich um eine Subdomain, die früher zum Versenden von E-Mails genutzt wurde, nun aber nicht mehr funktioniert. Dieser Dienst wird nicht mehr genutzt, und Sie haben den Knoten und den Host außer Betrieb genommen, aber irgendwie vergessen, den CNAME zu löschen.

Das bedeutet, dass dieser vergessene Eintrag ein „Dangling DNS“ ist, da er nicht mehr kontrolliert werden kann. Aufgrund einer solchen Schwachstelle können Hacker diese Situation für Phishing oder andere Angriffsversuche ausnutzen. Wenn die Schwachstelle von solchen Betrügern entdeckt wird, weisen sie der Azure-Ressource denselben FQDN zu, der zuvor verwendet wurde. Ab diesem Zeitpunkt kann der gesamte Datenverkehr aufgrund des CNAME von den Hackern kontrolliert werden. Über den CNAME werden alle DNS-Ressourcen an den Drittanbieter-Dienst weitergeleitet.

Beispiel 2:

Ein weiteres Szenario betrifft eine Subdomain, die nicht existiert, aber zuvor zum Versenden von E-Mails an ein Drittunternehmen verwendet wurde. Der CNAME verweist auf die Domain eines Unternehmens, das nicht existiert. Da die Domain abgelaufen ist, kann sie von jedem genutzt werden.

Hacker können diese Informationen leicht aufspüren und die Domain nutzen. Danach können sie die DNS-Ressourcen der alten Subdomain, einschließlich DKIM-, A- und MX-Einträge, unter ihre Kontrolle bringen.

Was sind die potenziellen Risiken von DNS-Dangling?

Falls der DNS-Eintrag auf eine nicht verfügbare Domain verweist, sollte als erster Schritt deren Entfernung aus der DNS-Zone erfolgen. Wird dies nicht getan, hat dies offensichtliche Konsequenzen, die wir bereits in den oben genannten Beispielen erörtert haben.

Da die Nutzung der Subdomains legitim ist, können Hacker leicht Malware oder andere schädliche Inhalte einsetzen. Wenn der Hacker die Kontrolle über die Subdomain erlangt, ist es möglich, alles nach Bedarf zu arrangieren und sogar Anfragen abzufangen. Wenn echte Nutzer diesen Dienst besuchen, erhält der Server des Angreifers Sitzungstoken, was zu unbefugtem Zugriff auf die Konten der Nutzer führen kann.

Von Hackern genutzte Subdomains wirken sehr realistisch, und in manchen Situationen kann selbst DMARC solche illegalen Aktivitäten nicht verhindern. Hacker können einfach eine authentifizierte Subdomain nutzen.   

Eine weitere mögliche Bedrohung besteht darin, dass ein Hacker eine IP-Adresse erwirbt, um den Datenverkehr abzufangen. Nach der Stilllegung der betreffenden Domain sind die Informationen über deren IP-Adresse weiterhin verfügbar. So können Angreifer diese IP-Adresse nutzen und Anfragen protokollieren.

Solche böswilligen Dienste können zu folgenden Angriffsarten eskalieren:

• MITM oder Man-in-the-Middle-Angriff.
• XSS oder Cross-Site-Scripting.
• CSRF
• CORS-Bypass.

Wie lässt sich dies verhindern?

Es gibt mehrere wirksame Mechanismen, die bei der Verhinderung von Dangling DNS helfen können. Die meisten Empfehlungen drehen sich um die Optimierung einiger grundlegender Prozesse.

• Regelmäßige DNS-Audits. Bei den regelmäßigen Überprüfungen lässt sich feststellen, wo alle Einstiegspunkte kontrolliert und aktiv sind. Je nach Anzahl der Ressourcen sollten solche Überprüfungen mindestens einmal pro Quartal oder, je nach Bedarf, häufiger durchgeführt werden.
• Überwachung von Domain-Ablaufdaten. Dies sollte eine ständige Praxis sein, um einige größere Risiken zu vermeiden.
• Stilllegungsprozesse. Bei der Stilllegung der Ressourcen ist es äußerst wichtig, alle zugehörigen DNS-Einträge zu löschen, und dies sollte so schnell wie möglich erfolgen.