image

Adobe komt met tool om kaping van subdomeinen te voorkomen

maandag 10 september 2018, 13:58 door Redactie, 5 reacties

Softwarebedrijf Adobe zal binnenkort een opensourcetool lanceren waarmee organisaties kunnen voorkomen dat hun subdomeinen worden gekaapt. Voor veel clouddiensten wordt er gebruik gemaakt van dns-records, zo laat Adobe weten. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen.

Organisaties maken bijvoorbeeld een subdomein aan en laten dat naar een clouddienst of domein wijzen. Het kan echter voorkomen dat de dienst of het ingestelde domein niet meer in gebruik is of verloopt, maar dat het dns-record nog steeds een verwijzing hiernaar heeft. Een aanvaller die vervolgens het domein opnieuw kan registreren kan hier misbruik van maken, aangezien het subdomein van de organisatie naar hetzelfde domein wijst, dat nu alleen in handen van een aanvaller is.

Om dergelijke scenario's te voorkomen startte Adobe "Project Hijack". Het softwarebedrijf kijkt continu naar verlopen domeinen en probeert zo de overname van subdomeinen te voorkomen. Als onderdeel van dit project werd een tool ontwikkeld genaamd "Jaeger". Deze in Python geschreven tool kan herkenningspatronen toepassen en biedt een zogeheten "watchdog proces".

De tool enumereert domeinen en subdomeinen van de organisatie en beoordeelt de dns-records van de domeinen. Ook worden referenties naar clouddiensten gecontroleerd en biedt de tool een proces om niet meer gebruikte dns-records op te schonen. Zodra er een kwetsbaar domein of subdomein is gevonden kan de dns-vermelding van het domein worden aangepast of verwijderd, om zo misbruik tegen te gaan. Wanneer Jaeger precies zal verschijnen heeft Adobe nog niet bekendgemaakt.

Image

Reacties (5)
10-09-2018, 15:32 door Anoniem
Mooi en lekker tooltje om subdomeinen te kapen? ;)
10-09-2018, 16:32 door wallum
Je kunt een subdomein toch alleen registreren als je ook het hoofddomein hebt?
11-09-2018, 00:50 door Bitwiper
Door wallum: Je kunt een subdomein toch alleen registreren als je ook het hoofddomein hebt?
Ja, maar ik vermoed dat hier domeinnamen zoals bedrijf.sharepoint.com worden bedoeld. De DNS registratie wordt in dat soort gevallen door het moederbedrijf gedaan (vermoed ik), maar als verantwoordelijke voor "bedrijf" moet je zorgen dat jouw bedrijfsregistratie bij dat moederbedrijf niet onbedoeld verloopt.

Zeker weten dat Adobe dit bedoelt weet ik echter niet. Iemand?
11-09-2018, 01:12 door Anoniem
Door Bitwiper:
Door wallum: Je kunt een subdomein toch alleen registreren als je ook het hoofddomein hebt?
Ja, maar ik vermoed dat hier domeinnamen zoals bedrijf.sharepoint.com worden bedoeld. De DNS registratie wordt in dat soort gevallen door het moederbedrijf gedaan (vermoed ik), maar als verantwoordelijke voor "bedrijf" moet je zorgen dat jouw bedrijfsregistratie bij dat moederbedrijf niet onbedoeld verloopt.

Zeker weten dat Adobe dit bedoelt weet ik echter niet. Iemand?

Nee wat ze bedoelen (ik moest het ook 6 keer lezen) is dat je een CNAME aanmaakt van service.bedrijf.nl naar bedrijf.service.com waar dan een of andere clouddienst draait (service zou sharepoint kunnen zijn maar dan gaat dit niet zo gauw fout, neem een service die na een tijdje out of business gaat).
Op het moment dat service.com niet meer bestaat heb je nog wel die CNAME van service.bedrijf.nl naar een subdomein daarvan (daar komt het woord subdomein op de proppen).

Als nu een grapjas service.com registreert en daarop weer sites aanmaakt zoals bedrijf.service.com (hij kan *.service.com aanmaken) dan komen daarop alle bezoekers binnen die nog naar service.bedrijf.nl gaan.
Dat zijn dan hopelijk werknemers of klanten van dat bedrijf die op zoek zijn naar een webmail, remote desktop of zo iets en die je dan de passwords afhandig kunt maken.

Nogal vergezocht om daar een tool voor te maken lijkt me. En al helemaal om dat bij Adobe te leggen, dat kun je beter met een simpel scriptje op je eigen zonefile doen.
11-09-2018, 13:03 door packetguy
Bedankt voor de uitleg, nu snap ik 'm.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.