• Enregistrements DNS enchevêtrés : Comment empêcher la prise de contrôle d'un sous-domaine ?

Enregistrements DNS enchevêtrés : Comment empêcher la prise de contrôle d'un sous-domaine ?

Blog

Les enregistrements DNS errants présentent des risques sérieux, tels que la prise de contrôle de sous-domaines et les violations de données. Découvrez leurs causes, les risques qu'ils représentent et comment sécuriser votre domaine.

par YunesTarada

Dernière mise à jour :
6 Temps de lecture : 2 min
Enregistrements DNS enchevêtrés : Comment empêcher la prise de contrôle d'un sous-domaine ?
Table des matières-

Le DNS errant est un problème critique qui résulte de vulnérabilités dans le système de noms de domaine (DNS), un système décentralisé utilisé pour localiser les ressources sur l'internet. En traduisant les noms de domaine lisibles par l'homme, comme google.com, en adresses IP lisibles par la machine, comme 101.102.25.22, le DNS assure une connectivité sans faille.

Il s'agit en quelque sorte d'un annuaire téléphonique, qui associe des noms à des numéros pour en faciliter l'accès. Cependant, lorsque des erreurs de configuration du DNS se produisent, elles peuvent entraîner des enregistrements DNS pendants (entrées pointant vers des ressources inexistantes ou déclassées), exposant ainsi les domaines à des risques de sécurité importants. Il est essentiel de résoudre ces problèmes pour maintenir une présence en ligne sécurisée.

Points clés à retenir

  1. Les enregistrements DNS erronés exposent les domaines à des risques de sécurité importants en pointant vers des ressources inexistantes ou déclassées.
  2. Les causes courantes des enregistrements DNS en suspens sont les mauvaises configurations, les services expirés et les comptes d'hébergement interrompus.
  3. Les attaques par prise de contrôle de sous-domaines peuvent résulter de l'existence d'enregistrements DNS erronés, ce qui permet aux attaquants de contrôler et de diffuser des contenus malveillants par l'intermédiaire de domaines compromis.
  4. Les enregistrements d'authentification du courrier électronique sont particulièrement vulnérables aux problèmes de DNS et doivent faire l'objet d'une surveillance régulière afin de garantir une configuration correcte.
  5. L'audit manuel et les outils de surveillance automatisée du DNS sont tous deux essentiels pour détecter et traiter efficacement les enregistrements DNS en suspens.

Qu'est-ce qu'un enregistrement DNS flottant ?

Un enregistrement DNS "dangling" est une entrée DNS qui pointe vers une ressource qui n'existe plus ou qui est inaccessible. Les cybercriminels sur Internet sont toujours à la recherche de ces entrées DNS car elles sont susceptibles de provoquer des fuites d'informations. Certaines de ces entrées peuvent contenir des informations sensibles sur un domaine, devenant ainsi une mine d'or de données dont les acteurs de la menace peuvent tirer profit. 

Scénarios courants conduisant à des DNS enchevêtrés

  • Mauvaises configurations DNS

Le système de noms de domaine est configuré séparément de la ressource internet avec laquelle nous voulons interagir. Les enregistrements DNS ajoutés au DNS pointent vers ces ressources, ce qui nous permet d'y accéder. Dans certains cas, une ressource précédemment configurée peut être déconfigurée par son hôte. Par exemple, un enregistrement DNS a été configuré par le propriétaire d'un domaine pour pointer vers l'IP d'un serveur. Ce serveur n'est plus utilisé. L'enregistrement DNS pointe désormais vers une ressource qui n'existe plus et peut donc être qualifié d'entrée "DNS pendante". 

  • Ressources en nuage expirées ou supprimées

Si un service en nuage utilisé par le propriétaire d'un domaine expire ou est supprimé, tout enregistrement DNS pointant vers ce service devient un enregistrement DNS Danglish. Cet enregistrement DNS reste actif et tout attaquant peut utiliser la ressource pour diffuser du contenu malveillant. 

  • IP obsolètes

Une entreprise peut migrer ses services vers un nouveau fournisseur, alors que les anciennes adresses IP sont obsolètes. Cependant, elle oublie de mettre à jour ou de supprimer les anciens enregistrements DNS. Ces anciens enregistrements sont vulnérables aux attaques par prise de contrôle de sous-domaines et peuvent être exploités très facilement. 

  • Déclassement ou interruption d'un service

Un serveur de messagerie, un compte d'hébergement ou un fournisseur de services tiers est abandonné ou mis hors service, mais les enregistrements DNS tels que les enregistrements MX, A et CNAME sont toujours actifs et configurés. Les attaquants peuvent exploiter ces enregistrements DNS actifs pour se faire passer pour le service interrompu. 

 

Simplifiez les enregistrements DNS enchevêtrés avec PowerDMARC !

15 jours d'essaiRéservez une démo

Les risques des enregistrements DNS enchevêtrés

Les vulnérabilités DNS cachées, telles que le DNS enchevêtré, peuvent conduire à l'exploitation d'un domaine et à des cybermenaces. 

Qu'est-ce qu'une attaque par prise de contrôle de sous-domaine ?

Lorsqu'un attaquant détecte une entrée DNS pendante qui pointe vers une ressource déconfigurée, il saisit immédiatement l'occasion. L'attaquant prend le contrôle du (sous-)domaine vers lequel pointe l'enregistrement DNS en question, acheminant ainsi l'ensemble du trafic vers un domaine contrôlé par l'attaquant avec un accès complet au contenu et aux ressources du domaine.

Impacts ultérieurs du détournement de votre domaine/sous-domaine par un attaquant : 

Un DNS défaillant entraîne le détournement d'un sous-domaine vers le domaine de l'agresseur

Un domaine ou un serveur déconfiguré peut devenir un vivier de ressources malveillantes manipulées par un attaquant et sur lesquelles le propriétaire du domaine n'a aucun contrôle. Cela signifie que l'attaquant peut exercer une domination totale sur le nom de domaine pour exploiter un service illégal, lancer des campagnes d'hameçonnage sur des victimes peu méfiantes et entacher la bonne réputation de votre organisation sur le marché. 

Vos enregistrements DNS risquent-ils de s'enchevêtrer ?

La réponse est oui. Les enregistrements d'authentification de courriel suivants peuvent être vulnérables aux problèmes de DNS pendants : 

Les protocoles d'authentification du courrier électronique tels que DMARC sont configurés en ajoutant un enregistrement TXT à votre DNS. Outre la configuration d'une politique pour les courriels de votre domaine, vous pouvez également utiliser DMARC pour activer un mécanisme de rapport qui vous enverra une foule d'informations sur vos domaines, vos fournisseurs et vos sources de courriels.

  • Enregistrement SPF

Un autre système de vérification de la source du courrier électronique couramment utilisé, SPF existe dans votre DNS sous la forme d'un enregistrement TXT contenant une liste de sources d'envoi autorisées pour vos courriels.

  • TLS-RPT

Rapports SMTP TLS (TLS-RPT) sont un mécanisme de rapport supplémentaire configuré avec MTA-STS pour envoyer aux propriétaires de domaines des notifications sous forme de rapports JSON sur les problèmes de délivrabilité dus à des défaillances dans le cryptage TLS entre deux serveurs de messagerie communicants.

  • Enregistrements DKIM CNAME

Les enregistrements CNAME créent des alias de nom de domaine pour pointer un domaine vers un autre. Vous pouvez utiliser le CNAME pour faire pointer un sous-domaine vers un autre domaine qui contient toutes les informations et configurations relatives au sous-domaine. 

Par exemple, le sous-domaine mail.domain.com est un alias pour CNAME info.domain.com. Par conséquent, lorsqu'un serveur recherche mail.domaine.com il sera dirigé vers info.domain.com.

Votre DKIM est souvent ajouté au DNS sous la forme d'un enregistrement CNAME.

Chacune de ces entrées contient des informations précieuses sur le domaine de votre organisation, les données de messagerie, les adresses IP et les sources d'envoi de courrier électronique. Des erreurs de syntaxe que vous pouvez souvent négliger peuvent entraîner des enregistrements en suspens qui peuvent passer inaperçus pendant de longues périodes. Un domaine qui a été abandonné par l'hôte avec un enregistrement DKIM CNAME ou SPF pointant vers lui peut également causer les mêmes problèmes. 

Remarque : Il est important de noter que les enregistrements MX, NS, A et AAA sont également susceptibles d'être affectés par des problèmes DNS de type "Dangling".. Dans le cadre de cet article, nous n'avons abordé que les enregistrements d'authentification du courrier électronique qui ont ces implications, en proposant des solutions pour les résoudre.

Comment trouver des enregistrements DNS erronés ?

L'identification des enregistrements DNS qui pointent vers des ressources non fournies à leur stade naissant peut contribuer à protéger votre marque. Vous pouvez procéder de deux manières : manuellement et automatiquement. 

1. Détection manuelle des DNS enchevêtrés

Bien qu'il prenne beaucoup de temps, un audit manuel peut aider à découvrir les enregistrements DNS obsolètes :

  • Contrôlez vos entrées DNS : Vérifiez tous les enregistrements DNS de votre système de gestion DNS par rapport aux ressources actives de votre environnement. Recherchez les entrées qui pointent vers des services ou des adresses IP inexistants.
  • Validez les configurations DNS : Utilisez des outils tels que nslookup ou dig pour interroger chaque enregistrement et vérifier que la ressource correspondante est provisionnée et active.
  • Recherchez les services orphelins : Recherchez les services tels que les hébergements tiers, les plateformes en nuage ou les fournisseurs de CDN qui peuvent avoir été résiliés sans que les entrées DNS associées aient été supprimées.

Bien que les méthodes manuelles soient rigoureuses, elles sont sujettes à l'erreur humaine et peuvent devenir ingérables pour les domaines dont les configurations DNS sont vastes ou complexes.

2. Détection automatisée des DNS enchevêtrés

Un outil de surveillance DNS peut s'avérer utile dans de telles circonstances. Considérez-le comme un tableau de bord pour vos domaines et sous-domaines, c'est-à-dire une plateforme qui rassemble toutes les données pertinentes les concernant de manière organisée et qui peut être facilement contrôlée de temps à autre. 

PowerDMARC permet justement d'atteindre cet objectif. Lorsque vous vous inscrivez à notre outil de surveillance de domaine, nous vous donnons accès à un tableau de bord personnalisé qui rassemble tous vos domaines racine enregistrés. Notre toute nouvelle fonctionnalité permet désormais d'ajouter automatiquement des sous-domaines détectés par le système pour les utilisateurs, sans qu'ils aient à procéder à un enregistrement manuel.

Vérifiez les enregistrements de votre domaine gratuitement !

Si vous ne souhaitez pas vous engager dans un service à temps plein pour la surveillance de votre domaine, vous pouvez contrôler votre domaine à l'aide de notre outil PowerAnalyzer. C'est gratuit ! Une fois que vous aurez entré votre nom de domaine et cliqué sur "Vérifier maintenant", vous pourrez voir toutes les configurations de vos enregistrements DNS ainsi que toutes les mauvaises configurations détectées avec des conseils sur la façon de les résoudre rapidement.

Derniers messages de Yunes Tarada (voir tous)
Dernière mise à jour :
PowerDMARC s'intègre à ConnectWiseLes 10 meilleures alternatives et concurrents de PowerDMARC : Comparaison détaillée des fonctionnalités