Mobile-Menu

Über Underminr umgehen Angreifer die DNS-Filterung 88 Millionen Domains angreifbar durch CDN-Routing-Schwäche

Von Thomas Joos 2 min Lesedauer

Anbieter zum Thema

Fujitsu Technology Solutions GmbH

Sicherheitsforscher von ADAMnetworks haben Underminr dokumentiert, eine Methode die CDN-Routing-Schwächen nutzt, um DNS-Filterung zu umgehen. SNI und Host-Header zeigen eine erlaubte Domain, die Ver­bin­dung endet jedoch bei einem anderen Mandanten auf demselben Edge. Potenziell sind rund 88 Millionen Domains betroffen.

Underminr leitet Verbindungen über fremde CDN-Mandanten und tarnt dabei C2-Verkehr hinter erlaubten Domains. Rund 88 Millionen Domains sind potenziell betroffen.(Bild: Dall-E / KI-generiert)
Underminr leitet Verbindungen über fremde CDN-Mandanten und tarnt dabei C2-Verkehr hinter erlaubten Domains. Rund 88 Millionen Domains sind potenziell betroffen.
(Bild: Dall-E / KI-generiert)

Angreifer nutzen eine Schwäche in gemeinsam genutzter Content-Delivery-Network-In­f­ra­struk­tur (CDN), um Verbindungen zu schädlichen Domains zu verschleiern. Die Methode heißt Underminr und baut auf dem Domain-Fronting auf, einer inzwischen weitgehend entschärften Technik zur Verschleierung des angesteuerten Verbindungsziels.

Vom Domain-Fronting zur Mandanten-Verwechslung

Beim Domain-Fronting platziert der Angreifer eine erlaubte Domain im Feld Server Name Indication (SNI) und in der TLS-Zertifikatsprüfung. Im verschlüsselten HTTP-Host-Header des TLS-Tunnels steht eine abweichende Zieldomain. Das CDN leitet die Anfrage intern anhand des Host-Headers weiter und erreicht so das verborgene Ziel, obwohl der Verkehr zu einer an­ge­se­he­nen Front-Domain zu führen scheint. Gegen dieses Muster existieren inzwischen Gegenmaßnahmen.

Underminr verzichtet auf eine Front-Domain. SNI und HTTP-Host verweisen auf eine erlaubte Domain, die Anfrage zielt jedoch auf die IP-Adresse eines anderen Mandanten auf demselben geteilten Edge. Nach Angaben von ADAMnetworks führt die Verbindung damit zu einer anderen Domain, obwohl sie nach außen einer vertrauenswürdigen Adresse zugeordnet bleibt. Angriffe richteten sich gegen große Hosting-Anbieter, auch gegen solche mit aktiven Schutzmaßnahmen gegen Domain-Fronting.

Erkennungslücke durch fehlende Korrelation

Nach Darstellung von ADAMnetworks besteht die Erkennungslücke, sobald SNI, Host-Header, Edge-IP-Adressen, DNS-Entscheidungen und das Mandanten-Routing des CDN nicht miteinander korreliert werden. Der Endpunkt registriert eine erlaubte DNS-Abfrage, die Verbindung endet jedoch bei einem anderen gehosteten Namen. Der Datenverkehr nutzt überwiegend TCP auf Port 443, wobei SNI den vorgesehenen TLS-Hostnamen offenlegt.

Erst die Korrelation von Edge-IP, Mandanten-Routing, SNI, Host-Header und DNS-Entscheidung schließt die Lücke. Sicherheitsaffine Organisationen sollten diese Signale zusammenführen und den Verbindungsendpunkt unabhängig vom Domainnamen prüfen.

Umgehung von Protective DNS

Die Schwäche lässt sich über vier verschiedene Strategien ausnutzen, um den DNS-Überwachungs- und Filterdienst Protective DNS (PDNS) zu umgehen. Angreifer verbergen damit Verbindungen zu Command-and-Control-Servern (C2) sowie VPN- und Proxy-Verbindungen und umgehen Richtlinien für den ausgehenden Datenverkehr. In der Praxis dienen schädliche Anwendungen und Shell-Skripte als Ausgangspunkt. Auch ClickFix-Angriffe, die Anwender zur Ausführung präparierter Befehle verleiten, eignen sich für den Missbrauch.

Reichweite und KI-Bezug

Nach Schätzung von ADAMnetworks sind rund 88 Millionen Domains potenziell betroffen. Die stärksten Auswirkungen zeigen sich bei der Internet-Infrastruktur in den USA, in Groß­bri­tan­ni­en und in Kanada. Das Unternehmen erwartet eine steigende Zahl von Angriffen, da Angreifer zunehmend KI einsetzen. ADAMnetworks-CEO David Redekop rechnet damit, dass Underminr als Parameter in KI-generierter Schadsoftware auftaucht und dann in jedem Angriff erscheint, der Protective DNS umgehen muss.

Fazit

Underminr verlagert das Problem von der Domain auf den angesteuerten Endpunkt der Verbindung. Ein vertrauenswürdiger Name im SNI und im Host-Header garantiert auf geteilten Edges nicht das erreichte Ziel. Die Absicherung beruht auf der Zusammenführung von DNS-Entscheidung, Mandanten-Routing, Edge-IP, SNI und Host-Header. Solange diese Signale getrennt bewertet werden, bleibt der Umweg über einen fremden Mandanten verborgen.

(ID:50859709)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte