{"id":175413,"date":"2016-03-07T09:12:10","date_gmt":"2016-03-07T08:12:10","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=175413"},"modified":"2022-06-09T15:32:25","modified_gmt":"2022-06-09T13:32:25","slug":"drown-schwachstelle-bei-microsoft-homeserver-com-domains","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/03\/07\/drown-schwachstelle-bei-microsoft-homeserver-com-domains\/","title":{"rendered":"Drown-Schwachstelle bei Microsoft homeserver.com-Domains?"},"content":{"rendered":"

Mit Windows HomeServer hat Microsoft ja mal den Versuch gestartet, im Privatbereich einen \"Server\" anzubieten \u2013 ist aber gescheitert und hat das Produkt eingestellt. Aber Nutzer eines HomeServer konnten eine Sub-Domain unter homeserver.com <\/em>einrichten. Nutzer von Windows Home-Server, die das gemacht haben, sollten den Beitrag vielleicht mal lesen.<\/p>\n

<\/p>\n

\"\"Es war nur eine kurze und kryptische E-Mail, die mir gestern von Blog-Leser Markus S. zuging \u2013 mein Dank an Markus f\u00fcr den Hinweis:<\/p>\n

\n

Hallo G\u00fcnther, <\/p>\n

vielleicht sollte Microsoft mal seine Kunden warnen . . . . <\/p>\n<\/p>\n<\/blockquote>\n

Gut, ich konnte ein wenig mit dem Hinweis anfangen, auch wenn ich keinen Windows HomeServer betreibe. Dr\u00f6seln wir das Ganze daher mal etwas auf. Vorab: Die Domain homeserver.com <\/em>ist nicht im Browser aufrufbar. Nach kurzen Recherchen war mir aber klar, dass die Domain zu Microsoft geh\u00f6rt und dass Benutzer eines von Microsoft mal angebotenen Windows HomeServer dort Subdomains nutzen k\u00f6nnen.<\/p>\n

\"homeserver.com<\/p>\n

Und hier gibt es Hinweise<\/a>, wie man eine HomeServer-Domain einrichten kann. Bei einer kurzen Google-Suche gewann ich den Eindruck, dass es immer wieder \u00c4rger mit der Erreichbarkeit der Domain gab. Aber das ist eine Randnotiz. Schauen wir uns das Kernproblem an.<\/p>\n

Drown kreist \u00fcber homeserver.com-Sub-Domains<\/h3>\n

Drown ist ja eine Schwachstelle, die letzte Woche publik wurde und Server bedroht, die nicht aktuell sind. Ich hatte es Sonntag kurz im Blog-Beitrag Erste Opfer der Drown-Sicherheitsl\u00fccke: Server4You-Kunden<\/a> angerissen. Die Webseite drownattack.com<\/a> enth\u00e4lt noch einige Hinweise. Die \u00dcberpr\u00fcfung meiner eigenen Domains mittels ergab, dass diese \"im gr\u00fcnen Bereich\" liegen. Da haben die Provider wohl ihre Hausaufgaben gemacht. <\/p>\n

Blog-Leser Markus, der einen Windows HomeServer betreibt, hat nat\u00fcrlich seine Domain ebenfalls \u00fcberpr\u00fcft und wies mich in seiner Mail darauf hin, den Test ebenfalls zu machen. Und dabei ist mir die Kinnlade herunter gefallen.<\/p>\n

\"Drown<\/p>\n

Sind einige Sub-Domains der Dom\u00e4ne homeserver.com <\/em>doch per main-in-the-middle Attacken \u00fcber Drown nicht nur angreifbar. Die Test-Site liefert auch sofort die zugeh\u00f6rige IP sowie die URL des Auftritts. Und noch schlimmer: Einige HomeServer-Kunden nutzen Zertifikate, die durch die eavesdropping<\/em>-L\u00fccke angreifbar sind, so dass die Schl\u00fcssel f\u00fcr SSLv2 gleich mit exportiert werden. <\/p>\n

<\/p>\n

Wenn ich es richtig mitbekommen habe, verwenden die Betreiber der homeserver.com<\/em>-Subdomains wohl eigene Zertifikate.<\/p>\n

<\/p>\n

Immerhin \u2013 Google Chrome weist mich darauf hin, dass der Zugriff auf solche Sites unsicher sei und blockiert den Zugriff. Gleiches gilt f\u00fcr den Internet Explorer und f\u00fcr den Firefox. <\/p>\n

Der Hinweis von Markus, dass Microsoft die Nutzer der Domain homeserver.com <\/em>vielleicht warnen sollte, ist nicht von der Hand zu weisen. Aber der Fall zeigt exemplarisch die Falle, die Anbieter aufstellen, wenn sie Hinz und Kunz zum eigenen Webauftritt verhelfen wollen, ohne sich um die Sicherheit des Ganzen zu k\u00fcmmern. Ein normaler Nutzer \u2013 und auch Benutzer eines HomeServer sind imho meist nicht in der Lage, die Folgen ihres Handelns \u00fcber Jahre zu kontrollieren und st\u00e4ndig zu reagieren. Oder wie seht ihr das so?<\/p>\n","protected":false},"excerpt":{"rendered":"

Mit Windows HomeServer hat Microsoft ja mal den Versuch gestartet, im Privatbereich einen \"Server\" anzubieten \u2013 ist aber gescheitert und hat das Produkt eingestellt. Aber Nutzer eines HomeServer konnten eine Sub-Domain unter homeserver.com einrichten. Nutzer von Windows Home-Server, die das … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4859,4858,4328],"class_list":["post-175413","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-drown-attack","tag-microsoft-homeserver","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175413","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=175413"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175413\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=175413"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=175413"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=175413"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}