O Dangling DNS é um problema crítico que surge de vulnerabilidades no Sistema de Nomes de Domínio (DNS) - um sistema descentralizado utilizado para localizar recursos na Internet. Ao traduzir nomes de domínio legíveis por humanos, como google.com, em endereços IP legíveis por máquinas, como 101.102.25.22, o DNS garante uma conetividade perfeita.
Pense nele como uma lista telefónica, ligando nomes a números para facilitar o acesso. No entanto, quando ocorrem configurações incorrectas do DNS, podem resultar em registos DNS pendentes - entradas que apontam para recursos inexistentes ou desactivados - expondo os domínios a riscos de segurança significativos. A resolução destes problemas é essencial para manter uma presença online segura.
Principais conclusões
- Os registos DNS pendentes expõem os domínios a riscos de segurança significativos, apontando para recursos inexistentes ou desactivados.
- As causas comuns de registos DNS pendentes incluem configurações incorrectas, serviços expirados e contas de alojamento descontinuadas.
- Os ataques de tomada de controlo de subdomínios podem resultar de registos DNS pendentes, permitindo aos atacantes controlar e fornecer conteúdos maliciosos através de domínios comprometidos.
- Os registos de autenticação de correio eletrónico são particularmente vulneráveis a problemas de DNS pendentes e requerem uma monitorização regular para garantir uma configuração adequada.
- Tanto a auditoria manual como as ferramentas automatizadas de monitorização do DNS são essenciais para detetar e tratar eficazmente os registos DNS pendentes.
O que são registos DNS pendentes?
Um registo DNS pendente é uma entrada DNS que aponta para um recurso que já não existe ou que está inacessível. Os cibercriminosos na Internet estão sempre à procura dessas entradas de DNS, uma vez que são susceptíveis de fuga de informações. Algumas destas entradas podem conter informações sensíveis sobre um domínio, tornando-se uma mina de ouro de dados para os agentes de ameaças beneficiarem.
Cenários comuns que levam a DNS pendentes
- Configurações incorrectas de DNS
O Sistema de Nomes de Domínio é configurado separadamente do recurso da Internet com o qual queremos interagir. Os registos DNS adicionados ao DNS apontam para estes recursos, ajudando-nos a aceder-lhes. Em certos casos, um recurso previamente configurado pode ser desconfigurado pelo seu anfitrião. Por exemplo, um registo DNS foi configurado por um proprietário de domínio para apontar para o IP de um servidor. Este servidor já não está a ser utilizado. O registo DNS aponta agora para um recurso que já não existe e, por isso, pode ser designado como uma entrada "dangling DNS".
- Recursos de nuvem expirados ou excluídos
Se um serviço de nuvem utilizado por um proprietário de domínio expirar ou for eliminado, qualquer registo DNS que aponte para esse serviço torna-se um registo DNS em inglês. Este registo DNS continua ativo e qualquer atacante pode utilizar o recurso para servir conteúdos maliciosos.
- IPs obsoletos
Uma empresa pode migrar serviços para um novo fornecedor, enquanto os IPs anteriores são descontinuados. No entanto, esquece-se de atualizar ou remover os registos DNS antigos. Estes registos antigos são vulneráveis a ataques de aquisição de subdomínios e podem ser explorados muito facilmente.
- Desativação ou descontinuação de serviços
Um servidor de correio eletrónico, uma conta de alojamento ou um fornecedor de serviços externo é descontinuado ou desativado, mas os registos DNS, como os registos MX, A e CNAME, continuam activos e configurados. Os atacantes podem explorar estes registos Dangling DNS activos para se fazerem passar pelo serviço descontinuado.
Simplifique os registos DNS pendentes com o PowerDMARC!
Os riscos dos registos DNS pendentes
As vulnerabilidades ocultas do DNS, como o Dangling DNS, podem levar à exploração do domínio e a ciberameaças.
O que é um ataque de aquisição de subdomínio?
Quando um atacante detecta uma entrada de DNS com oscilações que aponta para um recurso desconfigurado, aproveita imediatamente a oportunidade. O atacante assume o controlo do (sub)domínio para o qual aponta o registo DNS com oscilações, encaminhando assim todo o tráfego para um domínio controlado pelo atacante com acesso completo ao conteúdo e aos recursos do domínio.
Impactos subsequentes do facto de o seu domínio/subdomínio ser sequestrado por um atacante:
Um domínio ou servidor desconfigurado pode tornar-se um terreno fértil para recursos maliciosos manipulados por um atacante, sobre os quais o proprietário do domínio não tem qualquer controlo. Isto significa que o atacante pode exercer um domínio completo sobre o nome de domínio para executar um serviço ilegal, lançar campanhas de phishing em vítimas insuspeitas e prejudicar o bom nome da sua organização no mercado.
Os seus registos DNS estão em risco de ficarem pendurados?
A resposta é sim. Os seguintes registos de autenticação de correio eletrónico podem ser vulneráveis a problemas de DNS pendentes:
Protocolos de autenticação de correio eletrónico como DMARC são configurados através da adição de um registo TXT ao seu DNS. Para além de configurar uma política para os e-mails do seu domínio, também pode aproveitar o DMARC para ativar um mecanismo de relatório que lhe envie uma grande quantidade de informações sobre os seus domínios, fornecedores e fontes de e-mail.
- Registo SPF
Outro sistema de verificação da fonte de correio eletrónico comummente utilizado, SPF existe no seu DNS como um registo TXT que contém uma lista de fontes de envio autorizadas para os seus e-mails.
- TLS-RPT
Relatórios SMTP TLS (TLS-RPT) são um mecanismo de comunicação adicional configurado juntamente com o MTA-STS para enviar notificações aos proprietários de domínios sob a forma de relatórios JSON sobre problemas de capacidade de entrega devido a falhas na encriptação TLS entre dois servidores de correio eletrónico em comunicação.
- Registos CNAME DKIM
Os registos CNAME criam aliases de nomes de domínio para apontar um domínio para outro. Pode utilizar CNAME para apontar um subdomínio para outro domínio que contenha todas as informações e configurações relativas ao subdomínio.
Por exemplo, o subdomínio mail.domain.com é um alias para CNAME info.domínio.com. Assim, quando um servidor procura mail.domain.com será encaminhado para info.domínio.com.
Seu DKIM é frequentemente adicionado ao DNS como um registo CNAME.
Cada uma destas entradas contém informações valiosas sobre o seu domínio organizacional, dados de correio eletrónico, endereços IP e fontes de envio de correio eletrónico. Os erros de sintaxe que muitas vezes não são tidos em conta podem resultar em registos pendentes que podem passar despercebidos durante longos períodos de tempo. Um domínio que tenha sido descontinuado pelo anfitrião com um registo DKIM CNAME ou SPF a apontar para ele também pode causar os mesmos problemas.
Nota: É importante notar que os registos os registos MX, NS, A e AAA também são susceptíveis de problemas de Dangling DNS. Para efeitos deste artigo, apenas abordámos os registos de autenticação de correio eletrónico que têm estas implicações, oferecendo soluções sobre como corrigi-los.
Como encontrar registos DNS pendentes?
A identificação de registos DNS que apontam para recursos não provisionados na sua fase inicial pode ajudar a proteger a sua marca. Pode fazê-lo de duas formas: manual e automatizada.
1. Deteção manual de DNS pendente
Embora demorada, uma auditoria manual pode ajudar a descobrir registos DNS desactualizados:
- Auditar as entradas de DNS: Faça uma verificação cruzada de todos os registos DNS no seu sistema de gestão de DNS em relação aos recursos activos no seu ambiente. Procure entradas que apontem para serviços ou IPs inexistentes.
- Validar as configurações de DNS: Use ferramentas como nslookup ou dig para consultar cada registo e verificar se o recurso correspondente está provisionado e ativo.
- Verifique se há serviços órfãos: Investigue serviços como alojamento de terceiros, plataformas de nuvem ou fornecedores de CDN que possam ter sido terminados sem remover as entradas de DNS associadas.
Embora os métodos manuais sejam minuciosos, estão sujeitos a erros humanos e podem tornar-se impossíveis de gerir em domínios com configurações de DNS grandes ou complexas.
2. Deteção automatizada de DNS oscilante
Uma ferramenta de monitorização do DNS pode revelar-se útil nestas circunstâncias. Encare-a como uma lista para os seus domínios e subdomínios, ou seja, uma plataforma que reúne todos os dados relevantes relativos aos mesmos de uma forma organizada que pode ser facilmente monitorizada de tempos a tempos.
PowerDMARC faz exatamente isso. Quando se inscreve na nossa ferramenta de monitorização de domínios, damos-lhe acesso a um painel de controlo personalizado que reúne todos os seus domínios de raiz registados. A nossa nova funcionalidade pode agora adicionar automaticamente subdomínios detectados pelo sistema para os utilizadores, sem que estes tenham de proceder ao registo manual.
Verifique os registos do seu domínio gratuitamente!
Se não quiser comprometer-se com um serviço a tempo inteiro para a monitorização do seu domínio, pode verificar o seu domínio com a ajuda da nossa ferramenta PowerAnalyzer. É grátis! Depois de introduzir o nome do seu domínio e clicar em "Verificar agora", poderá ver todas as configurações dos seus registos DNS, bem como quaisquer erros de configuração detectados, com sugestões para os resolver rapidamente.
- O que é o BIMI? O seu guia completo sobre os requisitos e a configuração do logótipo BIMI - 21 de abril de 2025
- Regras de remetente de correio eletrónico em massa para Google, Yahoo, Microsoft e Apple iCloud Mail - 14 de abril de 2025
- Ataques de salting de correio eletrónico: Como o texto oculto contorna a segurança - 26 de fevereiro de 2025