O Dangling DNS é um problema crítico que surge de vulnerabilidades no Sistema de Nomes de Domínio (DNS) - um sistema descentralizado utilizado para localizar recursos na Internet. Ao traduzir nomes de domínio legíveis por humanos, como google.com, em endereços IP legíveis por máquinas, como 101.102.25.22, o DNS garante uma conetividade perfeita.
Pense nele como uma lista telefónica, ligando nomes a números para facilitar o acesso. No entanto, quando ocorrem configurações incorrectas do DNS, podem resultar em registos DNS pendentes - entradas que apontam para recursos inexistentes ou desactivados - expondo os domínios a riscos de segurança significativos. A resolução destes problemas é essencial para manter uma presença online segura.
Principais conclusões
- Os registos DNS pendentes apontam para recursos inexistentes ou inacessíveis, tornando-os vulneráveis à exploração.
- As causas comunsincluem configurações incorrectas de DNS, recursos de nuvem expirados, IPs obsoletos e serviços descontinuados.
- Os registos DNS pendentes podem levar a ataques de aquisição de subdomínios, permitindo que os atacantes forneçam conteúdos maliciosos.
- Os registos de autenticação de correio eletrónico como DMARC, SPF, TLS-RPT e DKIM CNAME estão especialmente em risco.
- A deteção manual envolve a auditoria de registos DNS, a validação de configurações e a identificação de serviços órfãos.
- As ferramentas automatizadas, como os sistemas de monitorização do DNS, simplificam a deteção e reduzem os erros.
- O PowerDMARC oferece monitorização de DNS, deteção automatizada de subdomínios e uma ferramenta PowerAnalyzer gratuita para verificar se existem configurações incorrectas.
O que são registos DNS pendentes?
Um registo DNS pendente é uma entrada DNS que aponta para um recurso que já não existe ou que está inacessível. Os cibercriminosos na Internet estão sempre à procura dessas entradas de DNS, uma vez que são susceptíveis de fuga de informações. Algumas destas entradas podem conter informações sensíveis sobre um domínio, tornando-se uma mina de ouro de dados para os agentes de ameaças beneficiarem.
Cenários comuns que levam a DNS pendentes
- Configurações incorrectas de DNS
O Sistema de Nomes de Domínio é configurado separadamente do recurso da Internet com o qual queremos interagir. Os registos DNS adicionados ao DNS apontam para estes recursos, ajudando-nos a aceder-lhes. Em certos casos, um recurso previamente configurado pode ser desconfigurado pelo seu anfitrião. Por exemplo, um registo DNS foi configurado por um proprietário de domínio para apontar para o IP de um servidor. Este servidor já não está a ser utilizado. O registo DNS aponta agora para um recurso que já não existe e, por isso, pode ser designado como uma entrada "dangling DNS".
- Recursos de nuvem expirados ou excluídos
Se um serviço de nuvem utilizado por um proprietário de domínio expirar ou for eliminado, qualquer registo DNS que aponte para esse serviço torna-se um registo DNS em inglês. Este registo DNS continua ativo e qualquer atacante pode utilizar o recurso para servir conteúdos maliciosos.
- IPs obsoletos
Uma empresa pode migrar serviços para um novo fornecedor, enquanto os IPs anteriores são descontinuados. No entanto, esquece-se de atualizar ou remover os registos DNS antigos. Estes registos antigos são vulneráveis a ataques de aquisição de subdomínios e podem ser explorados muito facilmente.
- Desativação ou descontinuação de serviços
Um servidor de correio eletrónico, uma conta de alojamento ou um fornecedor de serviços externo é descontinuado ou desativado, mas os registos DNS, como os registos MX, A e CNAME, continuam activos e configurados. Os atacantes podem explorar estes registos Dangling DNS activos para se fazerem passar pelo serviço descontinuado.
Os riscos dos registos DNS pendentes
As vulnerabilidades ocultas do DNS, como o Dangling DNS, podem levar à exploração do domínio e a ciberameaças.
O que é um Ataque de Tomada de Posição Subdomínio?
Quando um atacante detecta uma entrada DNS suspensa que aponta para um recurso desconfigurado, ele salta imediatamente para a hipótese. O atacante assume o (sub)domínio para o qual o registo DNS suspenso aponta, encaminhando assim todo o tráfego para um domínio controlado pelo atacante com acesso completo ao conteúdo e aos recursos do domínio.
Impactos subsequentes do seu domínio/subdomínio ser sequestrado por um atacante:
Um domínio ou servidor desconfigurado pode tornar-se um terreno fértil para recursos maliciosos manipulados por um atacante sobre o qual o proprietário do domínio não tem qualquer controlo. Isto significa que o atacante pode exercer completamente o domínio sobre o nome de domínio para executar um serviço ilegal, lançar campanhas de phishing sobre vítimas insuspeitas e malignizar o bom nome da sua organização no mercado.
Os seus registos DNS estão em risco de ficarem pendurados?
A resposta é Sim. Os seguintes registos de autenticação de correio electrónico podem ser vulneráveis a questões de DNS pendentes:
Protocolos de autenticação de correio eletrónico como DMARC são configurados através da adição de um registo TXT ao seu DNS. Para além de configurar uma política para os e-mails do seu domínio, também pode aproveitar o DMARC para ativar um mecanismo de relatório que lhe envie uma grande quantidade de informações sobre os seus domínios, fornecedores e fontes de e-mail.
- Registo SPF
Outro sistema de verificação da fonte de correio eletrónico comummente utilizado, SPF existe no seu DNS como um registo TXT que contém uma lista de fontes de envio autorizadas para os seus e-mails.
- TLS-RPT
Relatórios SMTP TLS (TLS-RPT) são um mecanismo de comunicação adicional configurado juntamente com o MTA-STS para enviar notificações aos proprietários de domínios sob a forma de relatórios JSON sobre problemas de capacidade de entrega devido a falhas na encriptação TLS entre dois servidores de correio eletrónico em comunicação.
- Registos CNAME DKIM
Os registos CNAME criam alias de nomes de domínio para apontar um domínio para outro. Pode utilizar CNAME para apontar um subdomínio para outro domínio que contenha todas as informações e configurações relativas ao subdomínio.
Por exemplo, o subdomínio mail.domain.com é um alias para CNAME info.domínio.com. Assim, quando um servidor procura mail.domain.com será encaminhado para info.domínio.com.
O seu DKIM é frequentemente adicionado ao DNS como um registo CNAME.
Cada uma destas entradas contém informações valiosas sobre o seu domínio organizacional, dados de correio electrónico, endereços IP, e fontes de envio de correio electrónico. Erros de sintaxe que pode frequentemente ignorar podem resultar em registos que podem passar despercebidos durante longos períodos de tempo. Um domínio que tenha sido descontinuado pelo anfitrião com um registo DKIM CNAME ou SPF a apontar para ele pode também causar os mesmos problemas.
Nota: É importante notar que os registos os registos MX, NS, A e AAA também são susceptíveis de problemas de Dangling DNS. Para efeitos deste artigo, apenas abordámos os registos de autenticação de correio eletrónico que têm estas implicações, oferecendo soluções sobre como corrigi-los.
Como encontrar registos DNS pendentes?
A identificação de registos DNS que apontam para recursos não provisionados na sua fase inicial pode ajudar a proteger a sua marca. Pode fazê-lo de duas formas: manual e automatizada.
1. Deteção manual de DNS pendente
Embora demorada, uma auditoria manual pode ajudar a descobrir registos DNS desactualizados:
- Auditar as entradas de DNS: Compare todos os registos DNS no seu sistema de gestão de DNS com os recursos activos no seu ambiente. Procure entradas que apontem para serviços ou IPs inexistentes.
- Validar as configurações de DNS: Use ferramentas como nslookup ou dig para consultar cada registo e verificar se o recurso correspondente está provisionado e ativo.
- Verifique se há serviços órfãos: Investigue serviços como alojamento de terceiros, plataformas de nuvem ou fornecedores de CDN que possam ter sido terminados sem remover as entradas de DNS associadas.
Embora os métodos manuais sejam minuciosos, estão sujeitos a erros humanos e podem tornar-se impossíveis de gerir em domínios com configurações de DNS grandes ou complexas.
2. Deteção automatizada de DNS oscilante
Uma ferramenta de monitorização do DNS pode revelar-se útil nestas circunstâncias. Encare-a como uma lista para os seus domínios e subdomínios, ou seja, uma plataforma que reúne todos os dados relevantes relativos aos mesmos de uma forma organizada que pode ser facilmente monitorizada de tempos a tempos.
PowerDMARC faz exatamente isso. Quando se inscreve na nossa ferramenta de monitorização de domínios, damos-lhe acesso a um painel de controlo personalizado que reúne todos os seus domínios de raiz registados. A nossa nova funcionalidade pode agora adicionar automaticamente subdomínios detectados pelo sistema para os utilizadores, sem que estes tenham de proceder ao registo manual.
Verifique os registos do seu domínio gratuitamente!
Se não quiser comprometer-se com um serviço a tempo inteiro para a monitorização do seu domínio, pode verificar o seu domínio com a ajuda da nossa ferramenta PowerAnalyzer. É grátis! Depois de introduzir o nome do seu domínio e clicar em "Verificar agora", poderá ver todas as configurações dos seus registos DNS, bem como quaisquer erros de configuração detectados, com sugestões para os resolver rapidamente.
- Yahoo Japan impõe a adoção de DMARC aos utilizadores em 2025 - 17 de janeiro de 2025
- Botnet MikroTik explora erros de configuração de SPF para espalhar malware - 17 de janeiro de 2025
- DMARC Correio Não Autenticado é Proibido [SOLVED] - January 14, 2025