Die neu entdeckte Underminr-Schwachstelle funktioniert als Variante des sogenannten Domain Fronting, einer Angriffstechnik, die bislang als weitgehend mitigiert galt. Während Domain Fronting eine erlaubte Domain in den SNI- und TLS-Zertifikatsfeldern eines HTTPS-Requests platzierte, um eine andere Zieldomain im verschlüsselten HTTP-Host-Header zu verstecken, nutzt Underminr einen anderen Ansatz: Angreifer zeigen SNI und HTTP-Host einer vertrauenswürdigen Domain an, erzwingen aber eine Verbindung zur IP-Adresse eines anderen Tenants auf derselben gemeinsamen Edge-Infrastruktur.
Dieser Missbrauch entsteht durch eine Lücke in der Korrelation zwischen DNS-Entscheidungen, Edge-IPs, SNI, Host-Headern und CDN-Tenant-Routing. Das Endgerät sieht eine erlaubte DNS-Abfrage, während die tatsächliche Verbindung zu einer völlig anderen gehosteten Domain aufgebaut wird. Besonders tückisch: Die Angriffe erfolgen überwiegend über TCP-Port 443, wo SNI die beabsichtigte TLS-Hostname offenbart.
ADAMnetworks identifizierte vier verschiedene Exploitationsstrategien, mit denen Angreifer den Protective DNS (PDNS)-Dienst umgehen können. In der Praxis werden bereits Malware-Anwendungen und Shell-Scripts für solche Angriffe eingesetzt. Besonders alarmierend ist die Verbindung zu ClickFix-Attacken, einer neueren Angriffstechnik, die von Microsoft bereits gewarnt hat.
Das größte Sicherheitsrisiko liegt in der zu erwartenden Automatisierung durch künstliche Intelligenz. CEO David Redekop warnt: “Sobald Underminr zu parametrischen Informationen für KI-generierte Malware wird, könnten wir es in jedem Angriff sehen, der Protective DNS als Teil der Angriffskette benötigt.” Deutsche IT-Sicherheitsverantwortliche sollten daher ihre DNS-Filterung überprüfen und sicherstellen, dass Monitoring-Systeme nicht nur DNS-Abfragen, sondern auch tatsächliche Verbindungsziele überwachen. Besonders Unternehmen, die auf CDN-Dienste angewiesen sind, sollten ihre Sicherheitsmaßnahmen entsprechend anpassen.