Was ist DNS-Rebinding?
DNS-Rebinding bezeichnet eine Methode, die häufig bei Angriffen auf Computer zum Einsatz kommt, bei denen die Auflösung von Domainnamen manipuliert wird. Über eine schädliche Webseite wird die clientseitige Ausführung von Skripten ausgelöst, die daraufhin andere Computer im Netzwerk angreifen.
DNS-Rebinding nutzt einen Browser, um eine Verbindung zwischen dem Server des Angreifers und einer auf einem unternehmensinternen Netzwerk laufenden Webanwendung herzustellen. Um das besser zu erklären, schauen wir uns im Folgenden zwei grundlegende Konzepte an: Same-Origin-Policy (SOP) und Time to Live (TTL).
Video zum Thema
Wie Angreifer DNS zum Datendiebstahl missbrauchen
Was ist Same-Origin-Policy (SOP)?
Webbrowser nutzen SOP als Schutzmaßnahme, um die Kommunikation zwischen Websites zu kontrollieren und zu verhindern, dass diese auf Inhalte zugreifen, die aus einer anderen Quelle („Origin“) stammen. Die Quelle einer Website wird vom Protokoll (zum Beispiel http://), von der Domain (zum Beispiel paloaltonetworks.com) und vom Port (zum Beispiel :80) definiert. Im Folgenden sehen Sie, dass die URLs A und B dieselbe Quelle haben, URL C jedoch nicht.
A: http://www[.]ihrname[.]de/index[.]html
B: http://www[.]ihrname[.]de/news[.]html
C: https:///www[.]ihrname[.]de/index[.]html (anderes Protokoll)
Bei Websites, die SOP unterliegen, wird die Kommunikation mit Inhalten aus anderen Quellen eingeschränkt. Das gilt zum Beispiel für Code wie JavaScript mit der Quelle http://www[.]hacker[.]de/home.html, der eine HTML-Anfrage an http://www[.]ihrname[.]de/news[.]html sendet.
Was ist Time to Live (TTL)?
Im Kontext eines DNS-Systems bezeichnet „Time to Live“ (oder „Lebensdauer“) die Gültigkeitsdauer eines DNS-Eintrags – also die Zeit in Sekunden, die ein Eintrag im Cache gespeichert werden kann, bevor der Webserver erneut eine Abfrage an den DNS-Server schicken muss. Zum Beispiel können Einträge mit einer TTL von 300 Sekunden fünf Minuten lang gespeichert werden. Danach veralten die Einträge und können nicht mehr verwendet werden. Die TTL wird üblicherweise vom autoritativen Nameserver einer Domain festgelegt.
Wie DNS-Rebinding-Angriffe SOP austricksen können
Das Ziel eines DNS-Rebinding-Angriffs ist es, die Einschränkungen der Same-Origin-Policy zu umgehen. Hier ein Beispielszenario: Angreifer registrieren die Domain http://www[.]hacker[.]de und weisen sie einem DNS-Server zu, den sie kontrollieren. Das Intranet des Unternehmens IhrName GmbH wird hinter einer Firewall gehostet. Mitarbeitende des Unternehmens können über den Webserver des Unternehmens auf bestimmte Anwendungen zugreifen. Die IP-Adresse des Servers ist 60.6.6.60. Nehmen wir einmal an, eine Fachkraft bei IhrName GmbH nutzt das Unternehmensnetzwerk, um vom Laptop oder Tablet aus im Internet zu surfen, und klickt auf www[.]hacker[.]de.
Der vom Angreifer kontrollierte DNS-Server antwortet mit der richtigen IP-Adresse auf die Anfrage des Mitarbeitergeräts, doch die TTL ist extrem kurz, sodass die Antwort nicht im Cache gespeichert werden kann. Sie erinnern sich, dass der DNS-Server die TTL festlegt. Der Browser des Opfers lädt die Seite, die den schädlichen Code enthält, herunter und der Code bindet die lokale IP-Adresse an den DNS-Server des Angreifers. Nun verweist die Domain www[.]hacker[.]de auf die IP 60.6.6.60 – und da diese IP-Adresse dieselbe Quelle hat, kann der Code des Angreifers Unternehmensdaten und sensible Daten ausschleusen.
Solche DNS-Rebinding-Angriffe lassen sich am effektivsten auf DNS-Ebene unterbinden. Weitere Informationen finden Sie unter https://www.paloaltonetworks.de/network-security/advanced-dns-security.