Netwerkverkeer veel organisaties lange tijd te volgen via onder meer Google en AWS

Ze konden zo meekijken met het netwerkverkeer van zo'n 15.000 organisaties waaronder dat van Fortune 500-bedrijven en overheden, meldt The Register. Het enige dat ze daarvoor moesten doen was een nieuw domein registeren met dezelfde naam als die van de officiële DNS-server. De onderzoekers demonstreerden dat met wat ze hadden gedaan op Route53, de dienst van AWS. Vervolgens creëerden ze een 'hosted zone' binnen de AWS name server.

Elke keer als er een domein wordt toegevoegd aan Route53 worden er vier verschillende DNS-servers geselecteerd om dat domein te beheren, legde een van hen, Shir Tamari van IT-beveiliger Wiz, op de conferentie uit. "Wij zorgden ervoor dat elke naamserver die we registreerden op het platform onder het beheer van dezelfde server viel." Dit proces herhaalden ze 2000 keer bij AWS waardoor ze gedeeltelijk de controle hadden over de zone en ze het verkeer naar hun eigen IP-adres konden sturen. Op het moment dat een DNS-client informatie opvroeg over zichzelf - dat is een standaard stap in de totstandkoming van een dynamic DNS setup - konden ze dat dynamische DNS-verkeer afvangen.

Op die manier slaagden ze erin heel uiteenlopende gevoelige informatie te vergaren. Het ging onder meer om informatie over werknemers, locaties van kantoren, computernamen. Voor kwaadwillenden is dat soort informatie een goudmijn voor het opzetten van gerichte aanvallen.

Het probleem zit in de manier waarop het dynamic DNS (RFC 2136)-algoritme in Windows werkt. Microsoft ziet het echter niet als een kwetsbaarheid en is niet van plan het probleem op te lossen. Volgens Microsoft is het een verkeerde configuratie van de DNS-aanbieders. Inmiddels hebben Google en AWS de mogelijkheid om misbruik te maken van het gat geblokkeerd, maar het probleem bestaat mogelijk nog bij andere DNS-aanbieders.