Sommaire

Qu'est-ce que le DNS en suspens ?

Sommaire

Pour comprendre le DNS en suspens, vous devez comprendre les principes de base du DNS. Le DNS est un protocole qui traduit les noms de domaine conviviaux, tels que paloaltonetworks.com, facile à retenir et à reconnaître, en une adresse IP numérique. Les adresses IP de chaque domaine sont stockées dans des serveurs DNS faisant autorité, qui agissent comme les annuaires téléphoniques de l'internet. Lorsque vous tapez l'adresse d'un site web dans un navigateur, celui-ci se connecte d'abord à un serveur DNS récursif et pose la question suivante : "Quelle est l'adresse IP de paloaltonetworks.com ?". Le serveur DNS récursif envoie une requête au serveur faisant autorité pour obtenir la réponse.

 

Qu'est-ce qu'un CNAME ?

Les types courants d'enregistrements stockés dans un serveur DNS faisant autorité sont le début de l'autorité (SOA), les adresses IP, les serveurs de noms (NS), les pointeurs pour les recherches DNS inversées (PTR) et les enregistrements de noms canoniques (CNAME).

Un CNAME est un type d'enregistrement de base de données DNS qui agit comme un alias pour un autre domaine et pointe vers un domaine au lieu d'une adresse IP. Les enregistrements CNAME sont généralement utilisés pour faire pointer plusieurs sites web appartenant à la même organisation vers un site web principal, pour enregistrer les mêmes domaines dans différents pays de manière à ce que chaque domaine pointe vers le domaine parent, et bien d'autres choses encore.

Supposons que votre entreprise, avec le domaine supercompany[.]com, lance un nouveau service ou produit et crée un nouveau nom de sous-domaine superproduct[.]supercomany[.]com. Lorsque ce sous-domaine est défini comme un alias du domaine parent, que tout le monde reconnaît, le sous-domaine, superproduct[.]supercomany[.]com, aura un enregistrement CNAME qui pointe vers supercompany[.]com.

 

DNS en suspens

Alors que les enregistrements DNS pointent les noms de domaine vers d'autres domaines, lorsqu'un domaine est abandonné, cet enregistrement DNS est laissé en suspens, ce qui lui vaut le nom d'enregistrement DNS en suspens. Parce qu'il est abandonné, ce domaine peut être facilement détourné par les acteurs de la menace et utilisé pour obtenir un accès initial dans un réseau. Les attaquants utilisent souvent cette technique de DNS enchevêtré pour le hameçonnage et d'autres attaques d'ingénierie sociale. Par exemple, supposons que superproduct.supercomany.com pointe vers un autre domaine, tel que superproduct.com, ou vers un hôte ou une IP externe, tel que compute1234.amazonaws.com, et que l'entreprise abandonne le nom superproduct.com ou le nœud de calcul qui l'héberge, mais qu'elle oublie que le CNAME superproduct.supercomany.com pointe toujours vers le domaine qui expire ou le nom d'hôte ou l'IP externe. Cela signifie que le domaine principal supercomany.com est le premier à être utilisé par les pirates pour héberger leur site malveillant. Un pirate peut installer un certificat SSL avec superproduct.supercomany.com et diffuser un contenu malveillant au détriment de la réputation de son entreprise.

Pour en savoir plus sur la sécurité du réseau DNS de Palo Alto Networks, visitez https://www.paloaltonetworks.fr/network-security/advanced-dns-security. Pour plus d'informations sur les DNS enchevêtrés, lisez notre blog, Dangling Domains: Menaces pour la sécurité, détection et prévalence.

 

FAQ sur les DNS en suspens

Les enregistrements DNS errants peuvent présenter des risques importants pour la sécurité, car ils pointent vers des domaines ou des services qui ne sont plus valides ou qui ne sont plus sous le contrôle du propriétaire du domaine. Les attaquants peuvent exploiter ces enregistrements en enregistrant des domaines expirés, en prenant le contrôle des sous-domaines et en les utilisant pour intercepter le trafic, voler des données sensibles, mener des attaques de hameçonnage ou distribuer des logiciels malveillants. Cela peut entraîner un accès non autorisé aux systèmes, des violations de données ou l'usurpation de l'identité de services légitimes.
La prise de contrôle d'un sous-domaine se produit lorsqu'un pirate prend le contrôle d'un sous-domaine encore actif dans les enregistrements DNS, mais qui pointe vers une ressource qui n'est plus sous le contrôle du propriétaire du domaine. Les enregistrements DNS erronés, en particulier les enregistrements CNAME ou MX, conduisent souvent à des prises de contrôle de sous-domaines. Par exemple, supposons qu'un enregistrement CNAME pointe vers un service externe mis hors service. Dans ce cas, un pirate peut enregistrer ce domaine externe et détourner le sous-domaine, ce qui lui permet d'héberger du contenu malveillant ou d'intercepter des communications destinées au domaine légitime.
Les organisations peuvent se protéger en vérifiant et en mettant à jour régulièrement leurs enregistrements DNS afin de supprimer ceux qui ne sont plus nécessaires ou qui pointent vers des ressources déclassées. Ils devraient également mettre en œuvre des mesures de sécurité telles que l'activation de DMARC (Domain-based Message Authentication, Reporting, and Conformance) et DKIM (DomainKeys Identified Mail) pour l'authentification du courrier électronique, ce qui peut aider à prévenir l'utilisation abusive d'enregistrements DNS dans des attaques de phishing ou de spoofing. En outre, l'utilisation d'enregistrements d'alias DNS liés à des ressources actives permet d'éviter les références pendantes.
Les vulnérabilités des DNS flottants peuvent être exploitées de diverses manières, notamment par le biais d'enregistrements DNS MX qui pointent vers des domaines expirés, ce qui permet aux attaquants d'intercepter des courriels ou d'utiliser le domaine pour des campagnes de hameçonnage. De même, les attaquants peuvent cibler les enregistrements CNAME inutilisés pour prendre le contrôle de sous-domaines et héberger du contenu malveillant. Les organisations disposant de plusieurs domaines et sous-domaines doivent prêter une attention particulière à ces enregistrements afin d'éviter toute utilisation non autorisée.
Les enregistrements DNS enchevêtrés concernent les organisations de toutes tailles, des startups aux grandes entreprises. Si les grandes organisations disposent d'infrastructures DNS plus étendues et donc d'un risque plus élevé d'enregistrements oubliés, même les petites entreprises peuvent être ciblées si leurs enregistrements DNS ne sont pas gérés de manière adéquate. La surveillance et la mise à jour régulières des entrées DNS sont essentielles pour réduire ce risque, quelle que soit la taille de l'organisation.
Contenu connexe
Protégez votre réseau avec une sécurité DNS avancée
Apprenez à protéger votre réseau contre les attaques, à prévenir les violations de données et à assurer une gestion transparente de la sécurité.
Vidéo : Sécurité du réseau DNS avancée de Palo Alto Networks
Bloquez les menaces de la couche DNS avec la solution de sécurité DNS la plus complète du marché.
Doc technique sur la sécurité DNS avancée
Sécurisez automatiquement votre trafic DNS avec Precision AI, une plateforme d'analyse basée sur le cloud.
Découvrez la sécurité DNS avancée
Arrêtez les attaques de détournement de DNS en temps réel avec la sécurité du réseau DNS avancé de Palo Alto Networks avec Precision AI.

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité