Los ataques DNS Dangling explotan las vulnerabilidades que genera una mala gestión de dominios, como son una falta de higiene de DNS o dominios descuidados.
Qué es DNS Dangling
Los ataques DNS Dangling se aprovechan de la situación de inseguridad de registros DNS que apuntan a recursos externos que han sido eliminados o que ya no están bajo el control del propietario original.
Esto puede ocurrir cuando un dominio o subdominio está configurado para apuntar a un servicio en la nube (como AWS, Azure, GitHub Pages, etc.), pero el recurso asociado ha sido eliminado o ha expirado.
A menudo esta relacionado con subdominios corporativos que apuntan a la URL del proveedor de servicios para ocultar la URL de éste.
Cómo funciona
- Un administrador de un sitio web crea un subdominio (ej. sub.ejemplo.com) y lo apunta a un servicio externo.
- El recurso en el servicio externo es eliminado o caduca, pero el registro DNS sigue apuntando a él.
- Un atacante detecta que el recurso ya no está en uso y registra un nuevo recurso en ese mismo servicio con el mismo nombre.
- Como el registro DNS sigue activo, el atacante obtiene control del subdominio y puede alojar contenido malicioso, realizar phishing o redirigir tráfico.
Ejemplos de DNS Dangling
Ejemplo 1: AWS S3 Bucket Secuestrado
Una empresa crea un repositorio para almacenar imágenes y documentos corporativos internos con un subdominio archivos.empresa.com asociado a un bucket en AWS S3 (empresa-bucket.s3.amazonaws.com).
Pasado un tiempo, la empresa decide liberar recursos que ya no utiliza, entre ellos el repositorio de archivos, pero no elimina el registro CNAME en el DNS que apunta a él.
Un ciberdelincuente detecte que el bucket ya no existe y crea un nuevo bucket en AWS con el mismo nombre (empresa-bucket.s3.amazonaws.com).
Ahora, todo el tráfico dirigido a archivos.empresa.com es controlado por el atacante, quien puede alojar contenido malicioso o realizar ataques de phishing. Así, los empleados, cliente o proveedores que reciban correos suplantando la identidad de la empresa con enlaces a archivos maliciosos alojados en el bucket harán clic en ellos sin sospechar, puesto que la URL archivos.empresa.com es legítima.
Ejemplo 2: Subdominio huérfano en Azure
Un banco usa un servicio de hosting en Microsoft Azure para una campaña promocional de su producto financiero para startups (startups.banco.com).
El subdominio startups.banco.com está configurado para apuntar a un recurso en Azure (banco.azurewebsites.net).
Una vez finalizada la campaña, el banco decide eliminar el recurso en Azure, pero olvida eliminar el registro CNAME que apunta a banco.azurewebsites.net.
Un ciberdelincuente detecta el recurso eliminado en Azure y registra otro con el mismo nombre (banco.azurewebsites.net).
Ahora, puede controlar el subdominio startups.banco.com y subir una página clonada que robe las credenciales de sus clientes o enviar correos de phishing desde el dominio startups.banco.com, redirigiéndolos a un sitio falso.
Correos de phishing como legítimos
Si el dominio dispone de registros SPF, DKIM o DMARC configurados para permitir el envío de correos desde ese subdominio, los ciberdelincuentes podrán enviar correos fraudulentos que serán detectados como legítimos.
Esto ocurre porque los protocolos de seguridad validarán a ese sender (startup.banco.com) como legítimo, es decir, autorizado para realizar envíos en nombre de banco.com. Los clientes de correo que reciban esos correos fraudulentos recibirán entonces la orden de “dejarlos pasar” de los protocolos.
Esto incrementa enormemente la credibilidad de esos correos fraudulentos ante los usuarios y, por lo tanto, la tasa de éxito de la campaña de phishing.
- Campañas de phishing más creíbles.
- Campañas de distribución de malware con enlaces legítimos.
- Acceso no autorizado a datos sensibles.
Cómo prevenir ataques DNS Dangling
Este tipo de ataques se aprovechan de las vulnerabilidades generadas por una mala gestión de la cartera de dominios. Por lo tanto, recomendamos una serie de buenas prácticas encaminadas a mejorar esta gestión:
- Realizar una auditoría regularmente para detectar:
- Registros DNS que apunten a servicios que ya no existen.
- Dominios y DNS expirados.
- CNAMEs innecesarios o que apunten a recursos eliminados.
- Registros SPF desactualizados.
- Centralizar el registro y gestión de los dominios y subdominios para tener un control exhaustivo de qué se registra, con qué información de contacto y durante cuánto tiempo se va a renovar.
- Mantener un control igualmente exhaustivo de las fechas de expiración de los dominios y DNS.
- Establecer un protocolo de desmantelamiento de servicios con el que se verifique la correcta eliminación de registros DNS.
- Implementar soluciones de monitorización que detecten la expiración de servicios DNS.
Lectura recomendada: ataques Sitting Duck
Si bien los ataques DNS Dangling apuntan a subdominios con DNS activas, otra técnica habitual es la contraria: atacar DNS expirados de dominios activos. Este tipo de ataques se llaman Sitting Duck y hablamos de ello en este artículo.
En estos casos, ¡vemos que controlar la expiración de DNS de dominios activos es igualmente importante!
¿Necesitas ayuda contra el fraude online?
Escríbenos con tu consulta, nos pondremos en contacto contigo pronto.