Bungelende DNS-records: Hoe voorkom je dat subdomeinen worden overgenomen?
door
Leestijd: 6 min
Dangling DNS is een kritiek probleem dat voortkomt uit kwetsbaarheden in het Domain Name System (DNS) - een gedecentraliseerd systeem dat wordt gebruikt om bronnen op het internet te lokaliseren. Door menselijk leesbare domeinnamen, zoals google.com, te vertalen naar machineleesbare IP-adressen zoals 101.102.25.22, zorgt DNS voor naadloze connectiviteit.
Zie het als een telefoonboek dat namen aan nummers koppelt om de toegang te vergemakkelijken. Wanneer DNS echter verkeerd is geconfigureerd, kan dit leiden tot hangende DNS-records-entries die verwijzen naar niet-bestaande of buiten gebruik gestelde bronnen-waarmee domeinen aan aanzienlijke beveiligingsrisico's worden blootgesteld. Het aanpakken van deze problemen is essentieel voor het handhaven van een veilige online aanwezigheid.
Belangrijkste opmerkingen
- Hangende DNS-records stellen domeinen bloot aan aanzienlijke beveiligingsrisico's doordat ze verwijzen naar onbestaande of buiten gebruik gestelde bronnen.
- Veelvoorkomende oorzaken van bungelende DNS-records zijn verkeerde configuraties, verlopen services en beëindigde hostingaccounts.
- Aanvallen waarbij subdomeinen worden overgenomen kunnen het gevolg zijn van bungelende DNS-records, waardoor aanvallers kwaadaardige inhoud kunnen beheren en aanbieden via gecompromitteerde domeinen.
- Authenticatierecords voor e-mail zijn bijzonder kwetsbaar voor DNS-problemen en moeten regelmatig worden gecontroleerd om de juiste configuratie te garanderen.
- Zowel handmatige controle als geautomatiseerde DNS-monitoringprogramma's zijn essentieel voor het effectief detecteren en aanpakken van bungelende DNS-records.
Wat zijn bungelende DNS-records?
Een bungelend DNS-record is een DNS-record dat verwijst naar een bron die niet meer bestaat of ontoegankelijk is. Cybercriminelen op het internet zijn altijd op jacht naar dergelijke DNS-records omdat ze gevoelig zijn voor informatielekken. Sommige van deze vermeldingen kunnen gevoelige informatie over een domein bevatten, waardoor ze een goudmijn aan gegevens worden waar bedreigingsactoren hun voordeel mee kunnen doen.
Veelvoorkomende scenario's die leiden tot een bungelende DNS
- DNS misconfiguraties
Het domeinnaamsysteem wordt afzonderlijk geconfigureerd van de internetbron waarmee we willen communiceren. DNS-records die aan het DNS worden toegevoegd, verwijzen naar deze bronnen en helpen ons er toegang toe te krijgen. In bepaalde gevallen kan een eerder geconfigureerde bron gedeconfigureerd worden door zijn host. Een DNS-record werd bijvoorbeeld geconfigureerd door een domeineigenaar om naar het IP van een server te wijzen. Deze server wordt nu niet meer gebruikt. Het DNS record wijst nu naar een resource die niet meer bestaat en kan daarom een "hangende DNS" entry genoemd worden.
- Verlopen of verwijderde cloudbronnen
Als een cloudservice die door een domeineigenaar wordt gebruikt, verloopt of wordt verwijderd, wordt elk DNS-record dat naar die service verwijst een Danglish DNS-record. Dit DNS-record blijft actief en elke aanvaller kan de bron gebruiken om kwaadaardige inhoud te serveren.
- Afgeschafte IP's
Een bedrijf kan services migreren naar een nieuwe provider, terwijl de vorige IP's vervallen. Hij vergeet echter de oude DNS-records bij te werken of te verwijderen. Deze oude records zijn kwetsbaar voor subdomain takeover-aanvallen en kunnen heel gemakkelijk worden misbruikt.
- Buitengebruikstelling of beëindiging van de dienst
Een e-mailserver, hostingaccount of serviceprovider van derden wordt opgeheven of buiten gebruik gesteld, maar de DNS-records zoals MX-, A- en CNAME-records zijn nog steeds actief en geconfigureerd. Aanvallers kunnen deze actieve Dangling DNS-records gebruiken om zich voor te doen als de beëindigde service.
Vereenvoudig bungelende DNS-records met PowerDMARC!
De risico's van bungelende DNS-records
Verborgen DNS-kwetsbaarheden zoals Dangling DNS kunnen leiden tot domeinexploitatie en cyberbedreigingen.
Wat is een Subdomain Takeover-aanval?
Wanneer een aanvaller een bungelend DNS-record ontdekt dat wijst naar een gedeconfigureerde bron, springt hij onmiddellijk in op deze kans. De aanvaller neemt het (sub)domein over waar de bungelende DNS-record naar verwijst en routeert zo het volledige verkeer naar een domein dat onder controle staat van de aanvaller en volledige toegang heeft tot de inhoud en bronnen van het domein.
Latere gevolgen als uw domein/subdomein wordt gekaapt door een aanvaller:
Een gedeconfigureerd domein of server kan een broedplaats worden voor kwaadaardige bronnen die door een aanvaller worden gemanipuleerd en waar de domeineigenaar geen controle over heeft. Dit betekent dat de aanvaller de domeinnaam volledig kan domineren om een illegale service uit te voeren, phishingcampagnes op nietsvermoedende slachtoffers te lanceren en de goede naam van uw organisatie in de markt te schaden.
Lopen uw DNS-records het risico te bungelen?
Het antwoord is ja. De volgende e-mailverificatiebestanden kunnen kwetsbaar zijn voor DNS-problemen:
Protocollen voor e-mailverificatie zoals DMARC worden geconfigureerd door een TXT-record toe te voegen aan je DNS. Naast het configureren van een beleid voor de e-mails van je domein, kun je DMARC ook gebruiken om een rapportagemechanisme in te schakelen waarmee je een schat aan informatie krijgt over je domeinen, leveranciers en e-mailbronnen.
- SPF record
Een ander veelgebruikt bronverificatiesysteem voor e-mail, SPF bestaat in je DNS als een TXT-record met een lijst van geautoriseerde verzendbronnen voor je e-mails.
- TLS-RPT
SMTP TLS-rapporten (TLS-RPT) is een extra rapportagemechanisme dat samen met MTA-STS is geconfigureerd om domeineigenaren meldingen te sturen in de vorm van JSON-rapporten over problemen met de bezorgbaarheid als gevolg van storingen in TLS-versleuteling tussen twee communicerende e-mailservers.
- DKIM CNAME-records
CNAME-records maken domeinnaam-aliassen aan om een domein naar een ander domein te verwijzen. U kunt CNAME gebruiken om een subdomein naar een ander domein te verwijzen dat alle informatie en configuraties bevat die betrekking hebben op het subdomein.
Bijvoorbeeld het subdomein mail.domein.com is een alias voor CNAME info.domein.com. Als een server dus mail.domain.com wordt hij doorgestuurd naar info.domein.com.
Uw DKIM authenticatiesysteem wordt vaak aan het DNS toegevoegd als een CNAME-record.
Elk van deze records bevat waardevolle informatie over je organisatiedomein, e-mailgegevens, IP-adressen en e-mailverzendbronnen. Syntaxfouten die je vaak over het hoofd ziet, kunnen leiden tot bungelende records die lange tijd onopgemerkt kunnen blijven. Een domein dat is opgeheven door de host met een DKIM CNAME- of SPF-record dat ernaar verwijst, kan ook dezelfde problemen veroorzaken.
Opmerking: Het is belangrijk op te merken dat MX-, NS-, A- en AAA-records ook gevoelig zijn voor Dangling DNS-problemen. Omwille van dit artikel hebben we alleen de e-mailauthenticatierecords behandeld die deze implicaties hebben en oplossingen geboden om ze op te lossen.
Hoe bungelende DNS-records vinden?
Het identificeren van DNS-records die verwijzen naar niet-geprovisioneerde bronnen in hun beginstadium kan helpen bij het beschermen van je merk. Je kunt dit op twee manieren doen: handmatig en geautomatiseerd.
1. Handmatige detectie van bungelende DNS
Hoewel het tijdrovend is, kan een handmatige controle helpen bij het ontdekken van verouderde DNS-records:
- Controleer uw DNS-records: Vergelijk alle DNS-records in uw DNS-beheersysteem met de actieve bronnen in uw omgeving. Zoek naar vermeldingen die verwijzen naar niet-bestaande services of IP's.
- Valideer DNS-configuraties: Gebruik tools zoals nslookup of graven om elke record op te vragen en te controleren of de corresponderende bron is voorzien en actief is.
- Controleer op verweesde services: Onderzoek services zoals hosting van derden, cloudplatforms of CDN-providers die mogelijk zijn beëindigd zonder de bijbehorende DNS-vermeldingen te verwijderen.
Hoewel handmatige methoden grondig zijn, zijn ze vatbaar voor menselijke fouten en kunnen ze onhandelbaar worden voor domeinen met grote of complexe DNS-configuraties.
2. Geautomatiseerde detectie van bungelend DNS
Een DNS-monitoringprogramma kan in dergelijke omstandigheden nuttig blijken te zijn. Zie het als een rooster voor uw domeinen en subdomeinen, d.w.z. één platform dat alle relevante gegevens met betrekking tot hen verzamelt op een georganiseerde manier die van tijd tot tijd gemakkelijk kan worden gecontroleerd.
PowerDMARC doet precies dat. Wanneer je je aanmeldt voor onze tool voor domeinbewaking, geven we je toegang tot een aangepast dashboard dat al je geregistreerde hoofddomeinen verzamelt. Onze gloednieuwe functie kan nu automatisch door het systeem gedetecteerde subdomeinen voor gebruikers toevoegen zonder dat ze zich handmatig hoeven te registreren.
Controleer gratis de registraties van je domein!
Als u zich niet wilt vastleggen op een fulltime service voor uw domeinmonitoring, kunt u uw domein controleren met behulp van onze PowerAnalyzer. Het is gratis! Zodra u uw domeinnaam invoert en op "Nu controleren" klikt, kunt u al uw DNS-recordconfiguraties bekijken, samen met eventuele gedetecteerde misconfiguraties met tips over hoe u deze snel kunt oplossen.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Yunes is een Operations Team Lead bij PowerDMARC met expertkennis in e-mailverificatie en -beveiliging. Yunes is een Microsoft-gecertificeerde Azure Administrator Associate met certificeringen in CompTIA A+ en nog veel meer.
Laatste berichten van Yunes Tarada (Bekijk alle berichten)
