Wat is een subdomain takeover en hoe bescherm je hiertegen?

Subdomein overname is een beveiligingskwetsbaarheid die optreedt wanneer een subdomein dat niet langer in gebruik is of is vergeten door de domeineigenaar en vervolgens wordt overgenomen door een aanvaller. Dit gebeurt wanneer een aanvaller in staat is om controle te krijgen over de DNS-records van een subdomein en deze naar zijn eigen server kan verwijzen. Hierdoor kan een aanvaller toegang krijgt tot gevoelige informatie en mogelijk het hele domein compromitteren.

In deze blogpost zullen we bespreken wat subdomein overname is, hoe het werkt en wat er gedaan kan worden om het te voorkomen.

Wat is subdomein overname?

Subdomein overname is een type aanval waarbij een aanvaller controle over een subdomein van een domeineigenaar overneemt. Dit gebeurt wanneer de domeineigenaar het subdomein is vergeten en de aanvaller in staat is om de DNS-records over te nemen. Door dit te doen kan de aanvaller malware op het subdomein hosten, gevoelige informatie stelen of phishingaanvallen uitvoeren.

Hoe werkt subdomein overname?

Subdomein overname werkt door de manier waarop DNS-records worden beheerd te exploiteren. Wanneer een domeineigenaar een subdomein maakt, creëren ze een DNS-record dat het subdomein naar een IP-adres toewijst. Dit DNS-record wordt opgeslagen op de DNS-server van het domein.

Als het subdomein niet meer wordt gebruikt, dient de domeineigenaar het DNS-record voor het subdomein te verwijderen. Als het DNS-record echter niet wordt verwijderd en het op de DNS-server blijft staan kan het door een aanvaller worden gebruikt om controle over het subdomein te krijgen.

Om een subdomein over te nemen, zoekt de aanvaller eerst een subdomein dat niet meer wordt gebruikt. Vervolgens creëren ze een website op een server die ze beheren en configureren ze de DNS-records voor het subdomein om naar hun server te wijzen. Hierdoor lijkt het alsof het subdomein nog steeds onder controle van de domeineigenaar staat, maar in werkelijkheid wordt het gecontroleerd door de aanvaller.

Wat kan worden gedaan om subdomein overname te voorkomen?

Er zijn verschillende stappen die domeineigenaren kunnen nemen om subdomein overname te voorkomen:

1. Monitor subdomeinen: Domeineigenaren moeten regelmatig hun subdomeinen controleren om ervoor te zorgen dat ze nog steeds in gebruik zijn. Als een subdomein niet meer wordt gebruikt, moet het DNS-record worden verwijderd.
2. Gebruik wildcard DNS-records: Wildcard DNS-records kunnen worden gebruikt om subdomein overname te voorkomen. Dit houdt in dat er een DNS-record wordt gemaakt dat elk subdomein dat niet bestaat naar een specifiek IP-adres verwijst. Dit betekent dat als een aanvaller probeert een subdomein over te nemen, ze de DNS-records niet kunnen configureren om naar hun server te verwijzen.
3. Gebruik CNAME-records: CNAME-records kunnen ook worden gebruikt om overname van subdomeinen te voorkomen. Dit omvat het maken van een CNAME-record dat het subdomein naar een andere domeinnaam verwijst.
4. Activeer DNSSEC: DNSSEC is een beveiligingsprotocol dat wordt gebruikt om DNS-spoofing te voorkomen. Het gebruikt digitale handtekeningen om te verifiëren dat DNS-records authentiek zijn. Dit kan de overname van subdomeinen helpen voorkomen door ervoor te zorgen dat DNS-records niet zijn gemanipuleerd.

Conclusie, subdomeinovername is een ernstig beveiligingslek dat ernstige gevolgen kan hebben. Door de hierboven beschreven stappen te volgen, kan je domeinen beschermen tegen overname van subdomeinen en is de veiligheid gewaarborgd.

Bent u benieuwd wat Secity op het gebied van IT security, audits en pentesting kan betekenen? Neem dan vrijblijvend contact met ons op om de mogelijkheden te bespreken. Wilt u ons liever direct spreken? Bel ons dan gerust! +31 8 5130 5220.