MSI Z390 Steam Summer

buildmypinnedsite.com war ein Subdomain-Takeover-Angriff

Meldung von doelf, Mittwoch der 17.04.2019, 15:23:31 Uhr

Am Montagabend tauchte im Startmenü einer unserer Windows-10-Installationen ein Totenkopf auf und verkündete "pwn poc", statt das Logo der dort verknüpften Webseite anzuzeigen. Schnell zeigte sich: Jemand hatte die vormals von Microsoft genutzte Subdomain notifications.buildmypinnedsite.com übernommen. Nun steht fest: Es handelt sich um einen Subdomain-Takeover-Angriff des auf Sicherheitsthemen spezialisierten Journalisten Hanno Böck.

Der Subdomain-Takeover-Angriff
Ein Subdomain-Takeover-Angriff ist ziemlich simpel: Im Zeitalter von Cloud-Diensten ist es üblich, dass Firmen Teile ihres Angebots auf die Server von externen Dienstleistern auslagern. Damit diese dann aber unter dem eigenen Domain-Namen erscheinen, wird ein CNAME-Nameservereintrag für eine neue Subdomain angelegt. Das ist solange unproblematisch, bis der Dienst eingestellt wird. Denn derjenige, der das Licht ausmacht, darf nicht vergessen, den CNAME-Nameservereintrag für die Subdomain wieder zu entfernen.

Ein ganz konkretes Beispiel
Eine Firma namens Microsoft kommt auf die Idee, bei ihrem Produkt "Windows 8" die altmodischen Icons durch Kacheln zu ersetzen. Und weil alles, was sich bewegt und blinkt, cool ist, ersinnt man Live-Kacheln, bei denen sich die Inhalte ändern. Auch den Betreibern von Webseiten will man ermöglichen, solche Live-Kacheln zu beliefern, und setzt hierzu die Domain buildmypinnedsite.com auf. Unter der Subdomain notifications.buildmypinnedsite.com wird dann noch eine Web-App bereitgestellt, die Seitenlogo und Newsfeed zu einer Live-Kachel verwurstet.

notifications.buildmypinnedsite.com gehackt

Die Domain buildmypinnedsite.com gibt es noch immer. Sie ist nach wie vor auf die Microsoft Corporation in Redmond registriert und die Betreiber von Webseiten können hier weiterhin Code für Live-Kacheln erzeugen, der auf die Web-App unter notifications.buildmypinnedsite.com verweist. Doch diese Web-App gibt es gar nicht mehr und die Subdomain notifications.buildmypinnedsite.com war verwaist. Da der CNAME-Nameservereintrag aber nie gelöscht wurde, konnte Hanno Böck sie auf ein neues Konto bei Microsofts Cloud-Dienst Azure registrieren und mit eigenen Inhalten füllen.

Code verweist auf gekaperte Subdomain

Microsoft reagiert nicht
Hanno Böck hatte - genau wie wir - Microsoft kontaktiert, bisher aber noch keine Antwort erhalten. Schlimmer noch: Microsoft hat nicht einmal buildmypinnedsite.com gesperrt oder notifications.buildmypinnedsite.com aus dem dort generierten Code gestrichen. Nach wie vor erzeugt Microsoft Code für Live-Kacheln, die auf eine Subdomain zugreifen, welche das Unternehmen gar nicht mehr kontrolliert. Das ist nicht nur fahrlässig, sondern völlig unverständlich und unverantwortlich!

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]