image

Onderzoekers: bij Squarespace geregistreerde domeinen eenvoudig gekaapt

dinsdag 16 juli 2024, 13:45 door Redactie, 3 reacties

Aanvallers zijn er vorige week in geslaagd om meerdere domeinnamen van organisaties die bij hostingbedrijf en registrar Squarespace waren ondergebracht op eenvoudige wijze te kapen. Dat stellen beveiligingsonderzoekers Taylor Monahan, Andrew Mohawk en Samczsun in een rapport (pdf).

Vorig jaar september nam Squarespace alle domeinregistratiegegevens en klanten van Google Domains over. Klanten zouden gedurende een niet nader genoemde periode worden gemigreerd van Google Domains naar Squarespace. Vorige week wist een aanvaller meerdere domeinnamen te kapen die als onderdeel van deze verhuizing bij Squarespace waren ondergebracht.

Squarespace had ingesteld dat bepaalde e-mailadressen tijdens de migratie van Google Domains naar Squarespace beheerderstoegang tot het domein kregen. Volgens de onderzoekers implementeerde Squarespace dit op een manier waarbij alle e-mailadressen vooraf aan de betreffende domeinen werden gekoppeld, ongeacht of het account al bestond. Mogelijk is dit gedaan zodat gebruikers meteen toegang tot al hun domeinen zouden hebben. Het ging om het e-mailadres dat was gekoppeld aan het Google Domains-account waar het domein werd beheerd en 'contributor' e-mailadressen die aan het domein waren gekoppeld.

Squarespace vereist echter geen e-mailvalidatie voor het aanmaken van een account. Zo is het mogelijk om voor bijvoorbeeld bill@gates.com een account aan te maken, zonder dat men eigenaar van dit e-mailadres hoeft te zijn. Een aanvaller maakte hier vorige week misbruik van om accounts voor alle mogelijke e-mailadressen aan te maken die bij het gemigreerde domein hoorden, maar nog geregistreerd moesten worden. "Zodra de aanvaller een geldig e-mailadres vond, had die volledige toegang tot het bijbehorende domein zonder het e-mailadres te hoeven verifiëren", aldus de onderzoekers.

Nadat de aanvallers toegang tot een domein hadden werden dns-instellingen aangepast, om zo e-mail naar het domein te onderscheppen en andere aanvallen uit te voeren. De onderzoekers adviseren gebruikers van Squarespace om tweefactorauthenticatie in te schakelen, aangezien dit standaard niet het geval is. Daarnaast wordt aangeraden om automatisch aangemaakte 'contributor' accounts te verwijderen en aanpassingen aan Google Workspace en dns-instellingen terug te draaien. Als laatste merken de onderzoekers op domeinnamen naar een andere partij te verhuizen.

Reacties (3)
16-07-2024, 16:41 door Erik van Straten
Een "dingetje": nadat een aanvaller (ongeautoriseerd) een DNS record naar zijn of haar server i.p.v. de echte laat wijzen, kan die aanvaller voor de betreffende domeinnaam in een oogwenk, gratis en zonder dat iemand vragen stelt, een DV (Domain Validated) certificaat verkrijgen (met de private key op diens nepserver) - pwned.

Echt een briljant systeem met die DV-certificaten (not).

Zie ook https://security.nl/posting/849955 waarom internetters sowieso nauwelijks tot niets aan DV-certs hebben.
16-07-2024, 23:36 door Wim ten Brink
Direct nadat ik bericht kreeg dat Google de registratie van domeinnamen door Squarespace liet overnemen heb ik mijn domein direct naar een andere provider overgebracht. Ik had namelijk maar weinig vertrouwen in hem. Google vertrouw ik wel.
Een andere reden om bij Sqaurespace weg te gaan nadat ze Google hadden overgenomen was omdat ik gewoon wil hosten op mijn eigen servers en dat maakte Squarespace iets lastiger. Want Squarespace wilde dat hosten overnemen. Mooi niet, dus...
Maar na deze blunder mag Squarespace gewoon failliet gaan, want dit was natuurlijk extreem dom...
17-07-2024, 07:29 door Anoniem
Door Erik van Straten: Een "dingetje": nadat een aanvaller (ongeautoriseerd) een DNS record naar zijn of haar server i.p.v. de echte laat wijzen, kan die aanvaller voor de betreffende domeinnaam in een oogwenk, gratis en zonder dat iemand vragen stelt, een DV (Domain Validated) certificaat verkrijgen (met de private key op diens nepserver) - pwned.

Echt een briljant systeem met die DV-certificaten (not).

Zie ook https://security.nl/posting/849955 waarom internetters sowieso nauwelijks tot niets aan DV-certs hebben.

Ik dit een probleem met DV-certificaten of moet men de DNS van hun domeinnaam beter beveiligen?...

Dan kan je ook zeggen: wanneer iemand weet een DNS-record naar zijn of haar server i.p.v. de echte laat wijzen, kan de aanvaller voor de betreffende domeinnaam in een oogwenk alle e-mailberichten voor dat domein ontvangen.

Echt een briljant systeem die e-mailservers (not).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.