Echte URL und falscher Server : Übernahme von Domains durch „IP-Use-After-Free“-Attacken

Von Steffen Eid, Frankfurt/Main

Nutzerdaten auf täuschend echten Websites abzugreifen, ist seit Langem hoch im Kurs. Bekanntestes Beispiel dafür sind Lookalike-Domains: Homonyme wie paypaI (mit großem „i“ statt kleinem „l“) leiten User in einem Moment der Unachtsamkeit schnell auf eine bösartige Domain der Angreifer, die (mal mehr, mal weniger genau) so aussieht wie das Original – dort erfassen Cyberkriminelle dann Anmeldedaten oder infizieren den Rechner der Opfer mit Malware-Downloads. Dabei konnten Security-Architekten zumindest hoffen und bangen, dass Mitarbeiter vorsichtig sind und Links genau anschauen, bevor sie ihnen folgen.

Doch Angreifer haben einen neuen „Endgegner“ für Security-Teams gefunden: sogenannte IP-Use-After-Free-Attacken. Bei dieser Variante sehen die Domains nicht nur täuschend echt aus, sondern sind es auch. Zumindest fast: Die betreffende IP-Adresse war es mal – die URL ist es immer noch. Und das machen sich die Angreifer zunutze.

IP-Use-After-Free

Was verbirgt sich hinter dem eher sperrigen Begriff „IP-Use-After-Free-Attack“? Alles fängt damit an, dass – ganz regulär – einer URL eine IP-Adresse zugewiesen wird. Spannend wird das für Kriminelle immer dann, wenn sich diese Zuordnung ändert: etwa bei einem Unternehmen, das schnell die neueste Version eines bestimmten Programms auf einer temporären virtuellen Maschine in der Cloud testen möchte – und sobald alles läuft, wird die virtuelle Maschine wieder abgeschaltet und das Programm in die Live-Umgebung umgesetzt.

Das Problem beginnt, wenn jemand bei demselben Cloud-Provider eine neue virtuelle Maschine eröffnet und „aus Versehen“ dieselbe IP-Adresse zugewiesen bekommt, auf die im DNS noch die alte URL zeigt. Ist die andere Person ein normaler User, wird ihm das eventuell gar nicht weiter auffallen. Ist die andere Person nicht ganz so nett und tatsächlich ein Angreifer, stehen ihr jetzt viele neue Optionen zur Verfügung: vom Abgreifen gültiger Sicherheitszertifikate bis hin zu extrem einfachen Phishing-Möglichkeiten.

Das mit den offiziellen Zertifikaten für schädliche Seiten ist dabei einfacher, als man annehmen möchte: Der Angreifer muss nur einen Aussteller nutzen, der Zertifikate auf Basis der Domain-Validierung ausgibt. Bei dieser Methode muss der Nutzer nur einen gewissen Grad an Kontrolle über die DNS-Domäne vorweisen können – was über veraltete DNS-Records ein Leichtes ist. Mit diesem Zertifikat in der Tasche können Kriminelle dann weitere Hürden nehmen und das Vertrauen anderer Systeme in die missbrauchte Domain stärken und ausnutzen.

Und auch beim Thema „aus Versehen“ geht es weniger zufällig zu, als man hoffen mag: Kriminelle, die in das Angeln nach der richtigen IP-Adresse nur ein wenig Aufwand stecken, können sehr schnell IP-Adressen mit Missbrauchspotenzial unter ihre Fittiche bekommen. Tobias Fiebig hat das 2019 als Autor beim APNIC-Blog ausgetestet und die Zahlen sind erschreckend: Er fand damals 702 180 Domains, die allein bei den großen Cloud-Anbietern für IP-Use-After-Free-Attacken anfällig waren und hat in einem Proof-of-Concept-Versuch nur knapp 28 Minuten gebraucht, um von einem Cloud-Provider eine gewünschte IP-Adresse zugewiesen zu bekommen.

Neuer Bedrohungsvektor für den Faktor Mensch

Man kann IP-Use-After-Free-Attacken quasi als den heiligen Gral des Social-Engineerings verstehen: Selbst die vorsichtigsten User werden von den echten URL-Domains getäuscht und auch Sicherheitsvorkehrungen greifen nicht ein, wenn der digitale Leumund und die Zertifikate glaubwürdig sind. Das wirkt auf den ersten Blick erschreckend – ist aber auch die Chance, DNS-Security neu zu denken und dringend benötigte Innovationen voranzutreiben.

Während sich Security-Teams heute immer noch teilweise auf die Vorsicht der Anwender verlassen, zeigt auch der neueste Infoblox State of Security Report 2022 [2], dass Mitarbeiter weiterhin ein großer Faktor bei der Absicherung des Firmennetzwerkes sind. Spätestens mit dem Aufkommen der IP-Use-After-Free-Attacken sollte man nun den „Faktor Mensch“ als grundlegend unsicher ansehen – egal wie vorsichtig Mitarbeiter auch sein mögen.

In letzter Konsequenz kann man selbst vertrauenswürdigen Domains nicht mehr unbedingt vertrauen – „Zero Trust“ ist also angebrachter denn je. Zudem sollten Cloud-Anbieter und Zertifikataussteller natürlich Maßnahmen treffen, um sicherzustellen, dass Domains und IP-Adressen immer noch zueinander gehören – aber auch Unternehmen können etwas gegen IP-Use-After-Free-Attacken auf ihre Domains tun.

Hilfe zur Selbsthilfe

Natürlich ist es ein Unterschied, ob man die eigene Domain proaktiv davor schützen will, für schädliche Zwecke missbraucht zu werden, oder ob es darum geht, den Schaden zu begrenzen, nachdem ein Mitarbeiter oder Kunde eine missbrauchte URL besucht hat. In beiden Fällen sind aber Netzwerk-Übersicht und einfaches Management über moderne DNS-, DHCP- und IP-Adress-Management-Tools (DDI) der Schlüssel zum Erfolg. Diese können inzwischen sogar automatisiert verwaiste DNS-Einträge bereinigen (das sogenannte DNS-Scavenging) und sorgen so dafür, dass keine DNS-Records übersehen und vergessen werden, die Kriminelle dann missbrauchen können.

Schutz der eigenen Domain über modernes IP-Adress-Management

Als Domaininhaber gestaltet es sich schwierig, Einfluss beispielsweise auf Cloud-Provider zu nehmen. Trotzdem müssen die eigenen Domains sicher sein – denn ein Missbrauch einer URL, die dem Unternehmen zugeordnet ist, kann schnell dazu führen, dass auch andere Domains/URLs des Unternehmens in Security-Checks abgestraft werden.

Will man Angriffe aufgrund veralteter DNS-Records verhindern, sollte man sich zunächst klarmachen, dass die Zeit überschaubarer Zahlen statischer IP-Adressen vorbei ist. Das mag sehr offensichtlich klingen, aber viele Security-Abteilungen nutzen noch immer Excel-Listen oder Wikis, um ihre IP-Adress-Bereiche zu organisieren. In einer Welt, in der eine immer größere Menge von – noch dazu oft dynamisch zugewiesenen – IP-Adressen sowie schnelle Wechsel zur Tagesordnung gehören, sind mit manueller Buchführung Fehlkonfigurationen vorprogrammiert. Je länger der Abgleich zwischen IP-Adressen und URLs dauert und je seltener dies geschieht, desto länger steht das Tor veralteter DNS-Einträge für Angreifer offen.

Die nötige Einsicht in das eigene Netzwerk liefern erst moderne IP-Adress-Management-(IPAM)-Lösungen. Mit diesen kann – teils automatisiert – nach veralteten Zuweisungen gesucht werden, sodass die Spezialisten ihre IP-Adress-Bereiche unkompliziert direkt im Blick haben. Best Practices aus dem Arbeitsalltag des Autors zeigen, dass sich solche Lösungen in kürzester Zeit (teilweise nur ein bis zwei Tage) während des laufenden Betriebs und ohne Downtime implementieren lassen. Es gibt also eigentlich keine Ausreden mehr, warum Netzwerkmanagement-Teams an veralteten, statischen Protokollen ihrer IP-Adressen festhalten sollten.

Angriffe frühzeitig erkennen und beenden – mit DNS als Security-Layer

Moderne IPAM-Lösungen können aber auch noch helfen, wenn der Schaden schon angerichtet ist, weil beispielsweise Mitarbeiter über an sich vertrauenswürdige URLs auf bösartigen Websites gelandet sind. Letztlich finden Angreifer immer einen Weg in ihre Ziel-Systeme – wichtig ist also im Sinne des „Assume the Breach“-Modells, die Zeit zu verkürzen, bis man Angriffe erkennt.

Eine gute DDI-Lösung kann heute alle Layer-2- und Layer-3-Geräte (etwa Router, Switches und Load Balancer) zentral und unkompliziert erfassen und so für Sichtbarkeit im Netzwerk sorgen. Die Integration von DDI-Metadaten in den Sicherheits-Stack eines Unternehmens kann dazu beitragen, Angreifer so früh wie möglich zu erkennen, da so der Datenverkehr und das Verhalten jedes Geräts im Netzwerk sichtbar werden.

Darüber hinaus kann die sicherheitsorientierte Nutzung von DNS die Aufklärung verbessern, da mehr als 90 % der Malware auf ihrem Weg in und aus dem Netzwerk das DNS passiert – eine gut konfigurierte DNS-Sicherheitslösung kann schädliche Kommunikation direkt an der Wurzel erkennen und helfen die richtigen Maßnahmen zu ergreifen, bevor Schlimmeres passiert. Klassische Firewalls haben hingegen quasi keine Chance, um beispielsweise Datenexfiltration über DNS zu erkennen. Sollten sich Angreifer oder Malware auch ansonsten sehr unauffällig verhalten, besteht eine große Chance, dass ein Opfer nie mitbekommt, dass es kompromittiert wurde.

Moderne Lösungen zur DNS-Security nutzen hingegen Machine-Learning, um regulären von verdächtigem DNS-Traffic zu unterscheiden: So können IT-Teams verdächtige Kommunikation stoppen und weitere Ermittlungen oder auch Quarantäneanordnungen für Geräte werden möglich. Der Schlüssel zur optimalen Anwenderfreundlichkeit sind dabei eine schnelle Bereitstellung und ein hoher Automatisierungsgrad.

Egal, ob in der Cloud, „on Premises“ oder hybrid: Bei der Auswahl einer Lösung sollten sich Netzwerk- und Security-Verantwortliche für DDI-Plattformen entscheiden, die vor allem langwierige repetitive Aufgaben automatisieren – so werden auch die eher nervigen und Zeit fressenden Netzwerk-Housekeeping-Aufgaben zuverlässig erledigt. Das sorgt für mehr Übersicht und mehr Sicherheit – selbst, wenn Mitarbeiter schädliche Domains besuchen, die eigentlich zu 100 % vertrauenswürdig scheinen.

Steffen Eid ist Manager Solution Architects für Central Europe bei Infoblox.

Literatur

[1] Tobias Fiebig, Be careful where you point to: the dangers of stale DNS records, APNIC Blog, Januar 2019, https://blog.apnic.net/2019/01/09/be-careful-where-you-pointto-the-dangers-of-stale-dns-records/
[2] Infoblox, Global State of Security Report 2022 Deutschland, Mai 2022, erhältlich via https://info.infoblox.com/resources-whitepapers-germany-new-cyberrisk-allianceand-infoblox-report-remote-workers-spell-trouble-for-infosec (Registrierung und Werbeeinwilligung erforderlich)