Le DNS errant est un problème critique qui résulte de vulnérabilités dans le système de noms de domaine (DNS), un système décentralisé utilisé pour localiser les ressources sur l'internet. En traduisant les noms de domaine lisibles par l'homme, comme google.com, en adresses IP lisibles par la machine, comme 101.102.25.22, le DNS assure une connectivité sans faille.
Il s'agit en quelque sorte d'un annuaire téléphonique, qui associe des noms à des numéros pour en faciliter l'accès. Cependant, lorsque des erreurs de configuration du DNS se produisent, elles peuvent entraîner des enregistrements DNS pendants (entrées pointant vers des ressources inexistantes ou déclassées), exposant ainsi les domaines à des risques de sécurité importants. Il est essentiel de résoudre ces problèmes pour maintenir une présence en ligne sécurisée.
Principaux enseignements
- Les enregistrements DNS erronés pointent vers des ressources inexistantes ou inaccessibles, ce qui les rend vulnérables à l'exploitation.
- Les causes les plus fréquentessont les mauvaises configurations DNS, les ressources cloud expirées, les IP obsolètes et les services interrompus.
- Les enregistrements DNS erronés peuvent conduire à des attaques par prise de contrôle de sous-domaines, permettant aux pirates de diffuser des contenus malveillants.
- Les enregistrements d'authentification du courrier électronique tels que DMARC, SPF, TLS-RPT et DKIM CNAME sont particulièrement menacés.
- La détection manuelle implique l'audit des enregistrements DNS, la validation des configurations et l'identification des services orphelins.
- Les outils automatisés tels que les systèmes de surveillance du DNS simplifient la détection et réduisent les erreurs.
- PowerDMARC offre une surveillance DNS, une détection automatisée des sous-domaines et un outil gratuit, PowerAnalyzer, qui permet de vérifier les mauvaises configurations.
Qu'est-ce qu'un enregistrement DNS flottant ?
Un enregistrement DNS "dangling" est une entrée DNS qui pointe vers une ressource qui n'existe plus ou qui est inaccessible. Les cybercriminels sur Internet sont toujours à la recherche de ces entrées DNS car elles sont susceptibles de provoquer des fuites d'informations. Certaines de ces entrées peuvent contenir des informations sensibles sur un domaine, devenant ainsi une mine d'or de données dont les acteurs de la menace peuvent tirer profit.
Scénarios courants conduisant à des DNS enchevêtrés
- Mauvaises configurations DNS
Le système de noms de domaine est configuré séparément de la ressource internet avec laquelle nous voulons interagir. Les enregistrements DNS ajoutés au DNS pointent vers ces ressources, ce qui nous permet d'y accéder. Dans certains cas, une ressource précédemment configurée peut être déconfigurée par son hôte. Par exemple, un enregistrement DNS a été configuré par le propriétaire d'un domaine pour pointer vers l'IP d'un serveur. Ce serveur n'est plus utilisé. L'enregistrement DNS pointe désormais vers une ressource qui n'existe plus et peut donc être qualifié d'entrée "DNS pendante".
- Ressources en nuage expirées ou supprimées
Si un service en nuage utilisé par le propriétaire d'un domaine expire ou est supprimé, tout enregistrement DNS pointant vers ce service devient un enregistrement DNS Danglish. Cet enregistrement DNS reste actif et tout attaquant peut utiliser la ressource pour diffuser du contenu malveillant.
- IP obsolètes
Une entreprise peut migrer ses services vers un nouveau fournisseur, alors que les anciennes adresses IP sont obsolètes. Cependant, elle oublie de mettre à jour ou de supprimer les anciens enregistrements DNS. Ces anciens enregistrements sont vulnérables aux attaques par prise de contrôle de sous-domaines et peuvent être exploités très facilement.
- Déclassement ou interruption d'un service
Un serveur de messagerie, un compte d'hébergement ou un fournisseur de services tiers est abandonné ou mis hors service, mais les enregistrements DNS tels que les enregistrements MX, A et CNAME sont toujours actifs et configurés. Les attaquants peuvent exploiter ces enregistrements DNS actifs pour se faire passer pour le service interrompu.
Les risques des enregistrements DNS enchevêtrés
Les vulnérabilités DNS cachées, telles que le DNS enchevêtré, peuvent conduire à l'exploitation d'un domaine et à des cybermenaces.
Qu'est-ce qu'une attaque par prise de contrôle de sous-domaine ?
Lorsqu'un attaquant détecte une entrée DNS pendante qui pointe vers une ressource déconfigurée, il saisit immédiatement l'occasion. L'attaquant prend le contrôle du (sous-)domaine vers lequel pointe l'enregistrement DNS en question, acheminant ainsi l'ensemble du trafic vers un domaine contrôlé par l'attaquant avec un accès complet au contenu et aux ressources du domaine.
Impacts ultérieurs du détournement de votre domaine/sous-domaine par un attaquant :
Un domaine ou un serveur déconfiguré peut devenir un vivier de ressources malveillantes manipulées par un attaquant et sur lesquelles le propriétaire du domaine n'a aucun contrôle. Cela signifie que l'attaquant peut exercer une domination totale sur le nom de domaine pour exploiter un service illégal, lancer des campagnes d'hameçonnage sur des victimes peu méfiantes et entacher la bonne réputation de votre organisation sur le marché.
Vos enregistrements DNS risquent-ils de s'enchevêtrer ?
La réponse est oui. Les enregistrements d'authentification de courriel suivants peuvent être vulnérables aux problèmes de DNS pendants :
Les protocoles d'authentification du courrier électronique tels que DMARC sont configurés en ajoutant un enregistrement TXT à votre DNS. Outre la configuration d'une politique pour les courriels de votre domaine, vous pouvez également utiliser DMARC pour activer un mécanisme de rapport qui vous enverra une foule d'informations sur vos domaines, vos fournisseurs et vos sources de courriels.
- Enregistrement SPF
Un autre système de vérification de la source du courrier électronique couramment utilisé, SPF existe dans votre DNS sous la forme d'un enregistrement TXT contenant une liste de sources d'envoi autorisées pour vos courriels.
- TLS-RPT
Rapports SMTP TLS (TLS-RPT) sont un mécanisme de rapport supplémentaire configuré avec MTA-STS pour envoyer aux propriétaires de domaines des notifications sous forme de rapports JSON sur les problèmes de délivrabilité dus à des défaillances dans le cryptage TLS entre deux serveurs de messagerie communicants.
- Enregistrements DKIM CNAME
Les enregistrements CNAME créent des alias de nom de domaine pour pointer un domaine vers un autre. Vous pouvez utiliser le CNAME pour faire pointer un sous-domaine vers un autre domaine qui contient toutes les informations et configurations relatives au sous-domaine.
Par exemple, le sous-domaine mail.domain.com est un alias pour CNAME info.domain.com. Par conséquent, lorsqu'un serveur recherche mail.domaine.com il sera dirigé vers info.domain.com.
Votre DKIM est souvent ajouté au DNS sous la forme d'un enregistrement CNAME.
Chacune de ces entrées contient des informations précieuses sur votre domaine organisationnel, vos données de messagerie, vos adresses IP et vos sources d'envoi d'e-mails. Des erreurs de syntaxe que vous négligez souvent peuvent entraîner des enregistrements pendants qui peuvent passer inaperçus pendant de longues périodes. Un domaine qui a été abandonné par l'hôte avec un enregistrement DKIM CNAME ou SPF pointant vers lui peut également causer les mêmes problèmes.
Remarque : Il est important de noter que les enregistrements MX, NS, A et AAA sont également susceptibles d'être affectés par des problèmes DNS de type "Dangling".. Dans le cadre de cet article, nous n'avons abordé que les enregistrements d'authentification du courrier électronique qui ont ces implications, en proposant des solutions pour les résoudre.
Comment trouver des enregistrements DNS erronés ?
L'identification des enregistrements DNS qui pointent vers des ressources non fournies à leur stade naissant peut contribuer à protéger votre marque. Vous pouvez procéder de deux manières : manuellement et automatiquement.
1. Détection manuelle des DNS enchevêtrés
Bien qu'il prenne beaucoup de temps, un audit manuel peut aider à découvrir les enregistrements DNS obsolètes :
- Contrôlez vos entrées DNS : Vérifiez tous les enregistrements DNS de votre système de gestion DNS par rapport aux ressources actives de votre environnement. Recherchez les entrées qui pointent vers des services ou des adresses IP inexistants.
- Validez les configurations DNS : Utilisez des outils tels que nslookup ou dig pour interroger chaque enregistrement et vérifier que la ressource correspondante est provisionnée et active.
- Recherchez les services orphelins : Recherchez les services tels que les hébergements tiers, les plateformes en nuage ou les fournisseurs de CDN qui peuvent avoir été résiliés sans que les entrées DNS associées aient été supprimées.
Bien que les méthodes manuelles soient rigoureuses, elles sont sujettes à l'erreur humaine et peuvent devenir ingérables pour les domaines dont les configurations DNS sont vastes ou complexes.
2. Détection automatisée des DNS enchevêtrés
Un outil de surveillance DNS peut s'avérer utile dans de telles circonstances. Considérez-le comme un tableau de bord pour vos domaines et sous-domaines, c'est-à-dire une plateforme qui rassemble toutes les données pertinentes les concernant de manière organisée et qui peut être facilement contrôlée de temps à autre.
PowerDMARC permet justement d'atteindre cet objectif. Lorsque vous vous inscrivez à notre outil de surveillance de domaine, nous vous donnons accès à un tableau de bord personnalisé qui rassemble tous vos domaines racine enregistrés. Notre toute nouvelle fonctionnalité permet désormais d'ajouter automatiquement des sous-domaines détectés par le système pour les utilisateurs, sans qu'ils aient à procéder à un enregistrement manuel.
Vérifiez les enregistrements de votre domaine gratuitement !
Si vous ne souhaitez pas vous engager dans un service à temps plein pour la surveillance de votre domaine, vous pouvez contrôler votre domaine à l'aide de notre outil PowerAnalyzer. C'est gratuit ! Une fois que vous aurez entré votre nom de domaine et cliqué sur "Vérifier maintenant", vous pourrez voir toutes les configurations de vos enregistrements DNS ainsi que toutes les mauvaises configurations détectées avec des conseils sur la façon de les résoudre rapidement.