Les ressources hébergées sur Azure App Service sont au premier plan, car les attaquants sont constamment à la recherche de vulnérabilités dans les applications web.
Les domaines en veille sont un sujet permanent sur la liste de contrôle des attaquants opportunistes et ciblés. Pour réduire la surface d'attaque potentielle, Azure App Service applique une vérification de domaine lorsqu'il lie un domaine personnalisé à une ressource de service applicatif.
Dans ce blog, nous discutons de la façon dont Azure Defender for App Service identifie les entrées DNS (Domain Name System) qui restent dans votre bureau d'enregistrement DNS lorsqu'un site web App Service est mis hors service - ces entrées sont connues sous le nom de "entrées DNS flottantes".
Lorsque vous supprimez un site web et que vous ne supprimez pas son domaine personnalisé de votre registraire DNS, l'entrée DNS pointe vers une ressource inexistante et votre sous-domaine est vulnérable à une prise de contrôle. Il est recommandé de mettre en place des procédures pour éviter les entrées DNS en suspens et empêcher les rachats de sous-domaines.
Introduction générale : Le DNS en suspens
Le "Dangling DNS" commence lorsque le DNS personnalisé de la zone DNS d'un domaine est mis en correspondance avec un enregistrement DNS CNAME d'une ressource Azure qui n'est plus approvisionnée, laissant le domaine associé "en suspens". Cette entrée DNS flottante, également connue sous le nom de "dangling domain", laisse le domaine vulnérable à une action malveillante connue sous le nom de "subdomain takeover".
Lorsqu'une prise de contrôle de sous-domaine se produit, un acteur malveillant prend le contrôle du domaine qui était précédemment associé à votre ressource Azure déprovisionnée. En prenant le contrôle, les acteurs malveillants peuvent intercepter le trafic destiné à ce point d'extrémité et/ou proposer du contenu de contrebande malveillant à partir de ce point d'extrémité. L'impact potentiel peut varier en fonction de l'architecture de votre application.
Azure Defender pour App Service
Azure Defender pour App Service utilise l'échelle du cloud pour identifier les attaques ciblant les applications fonctionnant sur App Service. Les pirates sondent les applications web pour trouver et exploiter leurs faiblesses. Avant d'être acheminées vers des environnements spécifiques, les requêtes vers les applications fonctionnant sous Azure passent par plusieurs passerelles, où elles sont inspectées et enregistrées. Ces données sont ensuite utilisées pour identifier les exploits et les attaquants, et pour apprendre de nouveaux modèles qui seront utilisés plus tard.
Protection contre les DNS en suspens
Azure Defender for App Service introduit une protection contre les DNS en suspens pour les clients qui ont déjà lié un domaine personnalisé à leur application hébergée par App Service. Ce projet couvre à la fois les domaines gérés par Azure DNS et ceux qui sont gérés par des bureaux d'enregistrement de domaines externes. Il permet de détecter les DNS en suspens même lorsque ce n'est pas le CNAME lui-même qui est en suspens, mais un service plus avancé pointant vers un site web déclassé qui n'existe pas. Par exemple, un domaine personnalisé qui pointe vers un Azure Traffic Manager existant qui pointe vers un site web supprimé.
Azure Defender pour App Service surveille le déprovisionnement des sites web et vérifie qu'aucun enregistrement de pseudonyme n'est resté. Dans les cas où une configuration de domaine non valide est trouvée, une alerte de sécurité sera déclenchée afin que les utilisateurs puissent rapidement remédier à une vulnérabilité nouvellement créée. Azure Defender pour App Service présente deux types d'alertes :
1 - Enregistrement de DNS " en suspens " détecté pour une ressource de l'App Service récemment mise hors service et qui possède un pointeur DNS valide (également appelé entrée " en suspens ". L'utilisateur est donc susceptible de se voir retirer le sous-domaine.
2 - Un enregistrement DNS potentiellement en suspens a été détecté pour une ressource du service d'application récemment mise hors service qui possède un pointeur DNS valide (également connu sous le nom d'entrée "dangling DNS". Dans ce cas, un enregistrement TXT avec l'ID de vérification du domaine a été trouvé. Il n'y a actuellement aucun risque immédiat de rachat de sous-domaine, mais il est recommandé de supprimer les pointeurs CNAME pour les ressources du service d'applications déclassées.
Éviter les entrées DNS en suspens
S'assurer que votre organisation a mis en place des processus pour éviter les entrées DNS en suspens et les rachats de sous-domaines qui en résultent est un élément crucial de votre stratégie de sécurité.
Certains services Azure offrent des fonctionnalités permettant de mettre en place des mesures préventives. D'autres méthodes pour prévenir ce problème doivent être établies par le biais des meilleures pratiques ou des procédures opérationnelles standard de votre organisation.
Source : Microsoft
Et vous ?
Que pensez-vous des entrées DNS en suspens ?
Avez-vous déjà été victime d'une subtilisation de sous-domaine ?
Azure Defender pour App Service introduit une protection contre les DNS flottantes
Car les attaquants sont constamment à la recherche de vulnérabilités dans les applications web
Azure Defender pour App Service introduit une protection contre les DNS flottantes
Car les attaquants sont constamment à la recherche de vulnérabilités dans les applications web
Le , par Sandra Coret
Une erreur dans cette actualité ? Signalez-nous-la !