Mark Koek

Subdomain takeover kan tot ernstig lek leiden. Digitaal opruimen voorkomt dit

Eind april ontdekte beveiligingsbedrijf CyberArk een lek in Microsoft Teams. Het probleem kon door Microsoft snel worden opgelost, maar dit lek is een mooi voorbeeld van een subdomain takeover en laat goed zien hoe belangrijk het is om (sub-)domeinnamen die niet meer nodig zijn grondig te verwijderen.

Take-over

Het lek in Microsoft Teams was mogelijk geworden doordat Teams probeerde te communiceren met twee sub-domeinnamen die Microsoft niet meer gebruikt. Dat lijkt een onschuldig administratief foutje, maar als iemand controle kan krijgen over de ongebruikte (sub-)domeinnaam of het IP-adres waar deze naar verwijst, kunnen er allerlei gekke dingen gebeuren. Het is mogelijk om dit te doen door een ongebruikte domeinnaam zelf te registreren. Het kan ook zo zijn dat de (sub-)domeinnaam verwijst naar een IP-adres bij een cloudprovider, waar je je vervolgens kunt aanmelden als eigenaar van het ongebruikte subdomein dat je wilt overnemen.

Tokens stelen

In het geval van Microsoft Teams was het daardoor mogelijk authenticatietokens te stelen als gebruikers naar het sub-domein werden geleid, bijvoorbeeld doordat ze op een geïnfecteerde link klikten. Ook was het mogelijk om een gifje te versturen naar gebruikers van Teams. Door alleen maar het plaatje te bekijken, werd het token automatisch gegenereerd en in de achtergrond verstuurd naar de betreffende sub-domeinen. Daarna was het eenvoudig om het token te stelen van elke Teams-gebruiker die het plaatje ook bekeek. Dit had een enorme worm kunnen worden die via Microsoft Teams in no time drie keer de wereld rond was gegaan. Gelukkig is dit niet gebeurd, en was het probleem al gefixt toen het naar buiten werd gebracht. 

Administratief klusje

Zelf hebben wij onlangs iets vergelijkbaars gevonden in de website van een klant. De website probeerde een stukje script op te halen van een domeinnaam die niet meer bestond. Door de domeinnaam te registreren hadden we potentieel elk stukje script aan de bezoekers mee kunnen geven. De oplossing is eenvoudig en een puur administratieve handeling, maar het geeft wel aan hoe belangrijk het is de (sub-)domeinnamen die je gebruikt goed te registreren. Dus heb je nog ergens verwijzingen naar vergeten sub-domeinen? Opruimen is belangrijker dan je denkt.

Meer weten?

We realiseren ons dat het niet altijd eenvoudig is om overzicht over al je domeinen en sub-domeinen te houden, zeker in grote organisaties. Gelukkig zijn er tools waarmee je kunt toetsen hoe de vlag er binnen jouw organisatie bijhangt en wat er allemaal gebeurt onder jouw domeinnamen. Geïnteresseerd? Neem gerust contact met ons op, we helpen je hier graag mee. 

Mark Koek, directeur HackDefense