Aanvallers zijn er vorige week in geslaagd om meerdere domeinnamen van organisaties die bij hostingbedrijf en registrar Squarespace waren ondergebracht op eenvoudige wijze te kapen. Dat stellen beveiligingsonderzoekers Taylor Monahan, Andrew Mohawk en Samczsun in een rapport (pdf).
Vorig jaar september nam Squarespace alle domeinregistratiegegevens en klanten van Google Domains over. Klanten zouden gedurende een niet nader genoemde periode worden gemigreerd van Google Domains naar Squarespace. Vorige week wist een aanvaller meerdere domeinnamen te kapen die als onderdeel van deze verhuizing bij Squarespace waren ondergebracht.
Squarespace had ingesteld dat bepaalde e-mailadressen tijdens de migratie van Google Domains naar Squarespace beheerderstoegang tot het domein kregen. Volgens de onderzoekers implementeerde Squarespace dit op een manier waarbij alle e-mailadressen vooraf aan de betreffende domeinen werden gekoppeld, ongeacht of het account al bestond. Mogelijk is dit gedaan zodat gebruikers meteen toegang tot al hun domeinen zouden hebben. Het ging om het e-mailadres dat was gekoppeld aan het Google Domains-account waar het domein werd beheerd en 'contributor' e-mailadressen die aan het domein waren gekoppeld.
Squarespace vereist echter geen e-mailvalidatie voor het aanmaken van een account. Zo is het mogelijk om voor bijvoorbeeld bill@gates.com een account aan te maken, zonder dat men eigenaar van dit e-mailadres hoeft te zijn. Een aanvaller maakte hier vorige week misbruik van om accounts voor alle mogelijke e-mailadressen aan te maken die bij het gemigreerde domein hoorden, maar nog geregistreerd moesten worden. "Zodra de aanvaller een geldig e-mailadres vond, had die volledige toegang tot het bijbehorende domein zonder het e-mailadres te hoeven verifiëren", aldus de onderzoekers.
Nadat de aanvallers toegang tot een domein hadden werden dns-instellingen aangepast, om zo e-mail naar het domein te onderscheppen en andere aanvallen uit te voeren. De onderzoekers adviseren gebruikers van Squarespace om tweefactorauthenticatie in te schakelen, aangezien dit standaard niet het geval is. Daarnaast wordt aangeraden om automatisch aangemaakte 'contributor' accounts te verwijderen en aanpassingen aan Google Workspace en dns-instellingen terug te draaien. Als laatste merken de onderzoekers op domeinnamen naar een andere partij te verhuizen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.