Aanvaller laat 751 domeinen bij registrar Gandi naar exploitkit wijzen

[Captain Kirk]

Een aanvaller heeft vorige week vrijdag 751 domeinnamen die bij de Franse registrar en hostingbedrijf Gandi waren geregistreerd naar een exploitkit laten wijzen, waaronder ook Nederlandse domeinnamen. Dat heeft het bedrijf in een analyse van de aanval laten weten.

De aanvallers wisten de nameservers van de domeinnamen aan te passen zodat die naar een website met de Rig-exploitkit wezen. Deze exploitkit maakt gebruik van oude beveiligingslekken in Adobe Flash Player en Internet Explorer om gebruikers automatisch met malware te infecteren. In het geval gebruikers al meer dan een jaar geen Flash Player- en IE-updates hadden geïnstalleerd konden ze door de verwijzing naar de exploitkit met de Neutrino-bot besmet raken.

Daarnaast werden ook de MX-records van de domeinen aangepast. Via deze records kan het adres van een mailserver worden opgegeven. De mailserver die de aanvaller invoerde bleek echter niet actief te zijn, zo laat het Zwitserse securitybedrijf Scrt in een analyse weten. In totaal werden 94 domeinen eindigend op .ch en .li aangepast, aldus Switch, de beheerder van het Zwitserse topleveldomein. Volgens Gandi was de aanval mogelijk doordat de aanvaller met de inloggegevens van Gandi bij een technische partner van de registrar kon inloggen.

Deze inloggegevens zijn vermoedelijk gestolen via een onbeveiligde verbinding naar de webportal van deze technisch partner. De webportal in kwestie staat verbindingen via http toe. Vanwege de aanval besloot Gandi alle inloggegevens voor de 150 technische platformen waar het gebruik van maakt te resetten. Daarnaast is er een security-audit van de gehele interne en externe infrastructuur gestart. Verder zal de registrar controleren dat er voortaan alleen nog op beveiligde wijze met de platformen van partners verbinding wordt gemaakt.

 

 

bron: security.nl