{"id":297051,"date":"2024-07-09T11:28:10","date_gmt":"2024-07-09T09:28:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297051"},"modified":"2024-07-09T11:52:41","modified_gmt":"2024-07-09T09:52:41","slug":"nachtrag-zum-status-der-merkwrdigen-de-de-domain","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/09\/nachtrag-zum-status-der-merkwrdigen-de-de-domain\/","title":{"rendered":"Nachtrag zum Status der merkwürdigen .de.de-Domain"},"content":{"rendered":"

\"StopEs gibt die Beobachtung, dass bei einem Internet-Provider in Luxemburg sehr merkw\u00fcrdige Domain-Namen, die aus zwei identischen TLD-Namen gebildet werden, registriert sind. F\u00fcr die Top-Level-Domain (TLD) .de wurde die Domain .de.de registriert. \u00c4hnliche l\u00e4sst sich f\u00fcr .com.com oder \u00e4hnliche TLDs feststellen. Nachdem ich \u00fcber den Fall berichtete haben Leser versucht, \u00fcber die Denic was in der Sache zu erreichen – und ich habe eine offizielle Anfrage an das BSI gestellt, ob diese Beh\u00f6rde sich einen Reim darauf machen kann. Hier eine Zusammenfassung des aktuellen Status.<\/p>\n

<\/p>\n

Worum geht es bei de.de genau?<\/h2>\n

\"\"Ein Blog-Leser hatte mich auf eine sehr merkw\u00fcrdige Geschichte hingewiesen, die ihm im Umfeld der Autodiscover-Funktion von Microsoft Exchange aufgefallen war. Es gibt wohl den Sachverhalt, dass ein Dritter eine Domain in Betrieb hat, die die Autodiscover-Subdomain von Fremden abbildet. Als Beispiel f\u00fcr die Top Level Domain (TLD) .de f\u00fcr Deutschland ist de.de<\/em> registriert, so dass der Besitzer dieser Domain so etwas wie:<\/p>\n

borncity.de.de
\nbundestag.de.de
\nbsi.de.de<\/p>\n

etc. aufsetzen kann (siehe auch diesen Kommentar<\/a> bei heise durch 1ST1). Aufgefallen ist das Problem einem Blog-Leser, weil er pl\u00f6tzlich unter Microsoft Exchange ein sehr merkw\u00fcrdiges Zertifikat, welches bereits 2011 abgelaufen ist, beim Autodiscover f\u00fcr die autodiscover<\/em>-Subdomain eines Kunden best\u00e4tigen sollte.<\/p>\n

\"Zertifikatswarnung
\nMerkw\u00fcrdiges Zertifikat f\u00fcr .de.de-Domain<\/em><\/p>\n

Recherchen von Lesern ergaben<\/a>, dass die betreffende Stelle in Luxemburg angesiedelt ist. Es gibt auch andere F\u00e4lle wo andere Top-Level-Domains (z.B. com.com etc.) nach diesem Schema aufgesetzt wurden. F\u00fcr Microsoft Exchange hatte ich die Implikationen im Blog-Beitrag Outlook zu Exchange-Autoermittlung und die doppelte .de.de-Domain<\/a> angesprochen. Wenn der Administrator eines Exchange-Servers nicht aufpasst, wird ggf. beim AutoDiscover die Fremd-Domain eingebunden.<\/p>\n

Im oben verlinkten Blog-Beitrag wurde nicht ganz klar, was hinter dem Ansatz zur Registrierung von Domains der Art de.de<\/em> steckt, aber ich wittere (bis zum Beweis des Gegenteils) Betrug. Ich habe dann mal hier im Blog nach Autodiscover im Zusammenhang mit Exchange gesucht und bin auf meinen alten Blog-Beitrag Microsoft Exchange Autodiscover-Designfehler erm\u00f6glicht Abgriff von Zugangsdaten<\/a> aus 2021 gesto\u00dfen. Das Unternehmen Guardicore behauptet<\/a>, Tausende Credential \u00fcber die Exchange Autodiscover-Funktion erhalten zu haben (heise hatte das Ganze hier<\/a> angesprochen). Blog-Leser Stefan hatte in diesem Kommentar<\/a> auf den Artikel Autodiscover Guardicore<\/a> von Frank Carius verlinkt, der das Thema kritisch beleuchtet. Carius konnte diese Behauptung bei eigenen Exchange-Installationen nicht nachvollziehen, hat im Artikel Autodiscover Sicherheit<\/a> einige Hinweise zur Sicherheit von Autodiscover ver\u00f6ffentlicht.<\/p><\/blockquote>\n

Meldung bei Denic und EuroDNS<\/h2>\n

Ein Blog-Leser hatte mir noch die Information zukommen lassen, das die de.de-Domain seit dem 21. Juni 2024 bei EuroDNS registriert ist. Mit dem Leser hatte ich diskutiert, ob man eine abuse-Meldung rausschicken k\u00f6nne. Der Leser hatte darauf hin die Denic kontaktiert, die sich aber \"nicht zust\u00e4ndig f\u00fchlte\" (nachfolgend die Antwort).<\/p>\n

<\/p>\n

Der Blog-Leser hat dann der Gesch\u00e4ftsf\u00fchrung von EuroDNS und Denic noch eine Mail geschickt, in der er diese auf den Sachverhalt hinweist und er vermutet, dass es sich um eine Phishing-Domain handelt. Er bittet, die Domain zu sperren, da durch die .de.de-Domain bekannte Marken imitiert werden. Eine Antwort ist bis jetzt noch offen.<\/p>\n

Meldung an das BSI<\/h2>\n

Ich selbst habe das Bundesamt f\u00fcr Sicherheit in der Informationsverarbeitung (BSI) zum 5. Juli 2024 kontaktiert und nachgefragt, ob jemand eine Erkl\u00e4rung hat.<\/p>\n

Merkw\u00fcrdige Doppeldomains .de.de, .com.com etc.<\/p>\n

ehr geehrte Damen und Herren,<\/p>\n

ich bin als IT-Blogger unterwegs und wurde k\u00fcrzlich von einem Leser \u00fcber einen nicht ganz erkl\u00e4rbaren Sachverhalt informiert, den ich in meinem Blog-Beitrag hier aufgegriffen habe.<\/p>\n

Outlook zu Exchange-Autoermittlung und die doppelte .de.de-Domain<\/a><\/p>\n

Das Problem scheint in meinen Augen zu sein, dass durch die Registrierung der .de.de-Domain in Luxemburg beliebige Subdomains wie sparkasse.de.de, bka.de.de, bundesregierung.de.de angelegt werden k\u00f6nnen. Durch die AutoDiscover-Funktion von Outlook\/Microsoft Exchange besteht das Risiko, dass diese \"Fake-Domains\" angesprochen werden.<\/p>\n

Einer meiner Blog-Leser hat sich in einem Kommentar<\/a> im heise-Forum noch einige Gedanken gemacht. Es k\u00f6nnte alles ganz harmlos sein, der Umstand, dass ein Catch-All-DNS aufgesetzt wurde, l\u00e4sst doch Alarmglocken l\u00e4uten. Ist dem BSI diesbez\u00fcglich etwas bekannt. \u00dcber die Leserschaft wurde die Denic im Hinblick auf eine Abuse-Meldung kontaktiert, hier f\u00fchlt man sich aber nicht zust\u00e4ndig. Bez\u00fcglich einer Einsch\u00e4tzung\/R\u00fcckmeldung des BSI w\u00e4re ich dankbar.<\/p><\/blockquote>\n

Ich habe zwar eine Eingangsbest\u00e4tigung des BSI erhalten, aber bisher gibt es keine R\u00fcckmeldung zum Sachverhalt bzw. Sachstand. Daher tippe ich nach wie vor im Dunkeln, was der oben skizzierte Sachverhalt mit der Registrierung von \"Doppel-TLS-Domains\" bewirkt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Es gibt die Beobachtung, dass bei einem Internet-Provider in Luxemburg sehr merkw\u00fcrdige Domain-Namen, die aus zwei identischen TLD-Namen gebildet werden, registriert sind. F\u00fcr die Top-Level-Domain (TLD) .de wurde die Domain .de.de registriert. \u00c4hnliche l\u00e4sst sich f\u00fcr .com.com oder \u00e4hnliche TLDs … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[],"class_list":["post-297051","post","type-post","status-publish","format-standard","hentry","category-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297051","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=297051"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297051\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=297051"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=297051"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=297051"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}