Etliche DNS-Server sind zu offen konfiguriert: Stößt man einen Zonentransfer an, plaudern sie alle ihnen bekannten Informationen über eine Domain aus ? einschließlich der Subdomains. Angreifer nutzen dies seit Jahrzehnten aus.
Wie ein Scan der Webseite Internetwache.org zeigt, sind viele DNS-Server zu lasch konfiguriert und geben dadurch mehr preis, als sie sollten: Angreifer bekommen Einsicht in die Liste der Subdomains einer Domain ? und somit auch eine Liste möglicher Angriffsziele.
Wenn DNS-Server ihren Datenbestand untereinander austauschen (Zonentransfer), nutzen sie das sogenannte AXFR-Verfahren (Asynchronous Full Transfer Zone). Normalerweise entscheiden die Server anhand einer Whitelist, mit wem der Datenaustausch vollzogen werden darf. Ist auf dem Server keine Whitelist eingerichtet, kann jeder den Zonentransfer anstoßen und erhält somit Einblick in sämtliche dem Server bekannten Hosts.
Nameserver plaudern Subdomains aus
Ein Angreifer erhält so wertvolle Informationen über mögliche Angriffsziele; zum Beispiel, dass es nicht nur gesicherte-bank.de gibt, sondern auch die Subdomains banking.gesicherte-bank.de, monitoring.gesicherte-bank.de, intern.gesicherte-bank.de und vielleicht admin.gesicherte-bank.de. Prekär wird die Lage spätestens dann, wenn der Domaininhaber unzureichend gesicherte Dienste oder Dienste, die nicht für die Öffentlichkeit bestimmt sind, hinter den Subdomains betreibt ? in dem Glauben, dass die Adresse schon niemand erraten wird.
Mehr als 130.000 falsch konfigurierte Nameserver
Internetwache.org hat die laut dem Statistikdienst Alexa eine Million am häufigsten besuchten Websites auf das Problem untersucht und konnte in über 130.00 Fällen den Zonentransfer anstoßen und Informationen zu über 70.000 Domains abrufen. Auch die Kollegen von Golem.de haben die DNS-Server einiger Domains untersucht und landeten unter anderem bei Zeit.de einen Treffer. Der DNS-Server lieferte unter anderem die Adresse von einem öffentlich zugänglichen Logging-Interface ? das jedoch nicht für die Öffentlichkeit bestimmt war.
Ebenfalls betroffen sind oder waren Domains der Stadt Berlin, Quoka.de, Filmstarts.de, RTL2, der Bayerische Rundfunk, der MDR und die Piratenpartei. Bedenkt man, dass das Datenleck AXFR bereits seit Jahrzehnten bekannt ist und auch ausgenutzt wird, ist das schon peinlich.
Wer überprüfen will, ob er selbst betroffen ist, kann zum Beispiel den Webdienst DNS Zone File Transfer Check oder den folgenden Kommandozeilen-Befehl benutzen:
dig AXFR
gesicherte-bank.de @<IP>
<IP> wird dabei durch die Adresse des DNS-Servers ersetzt.
(rei)