Recherche de sous-domaine dans le cadre des meilleures pratiques de cybersécurité

Les acteurs de la menace sont toujours à la recherche de voies potentielles d'accès aux réseaux cibles. Et bien que le monde de la cybersécurité ait déjà beaucoup sur son radar, les sous-domaines sont des points d'entrée qui ne sont pas toujours faciles à identifier et qui peuvent finir par être négligés.

Les entreprises mappent souvent des sous-domaines à une adresse IP spécifique qui pointe vers des services tiers tels que Shopify et Amazon Web Service (AWS). En tant que tels, les sous-domaines pourraient rapidement s'accumuler à mesure que les entreprises continuent à développer et à abandonner leurs produits et services. Cela ne devrait pas être un problème tant qu'ils sont mis à jour en conséquence. Cependant, lorsqu'une entreprise abandonne l'abonnement ou cesse d'offrir un service, elle peut oublier ces enregistrements de sous-domaine – ce qui peut alors conduire à une prise de contrôle de sous-domaine.

La réalisation d'un inventaire régulier des sous-domaines avec un outil de recherche de sous-domaines peut prendre en charge la détection de la surface d'attaque correspondante. Voyons comment un outil de recherche de sous-domaines nous permet de vérifier les vulnérabilités des sous-domaines et de protéger par conséquent les actifs numériques et les clients avec un exemple.

Un examen plus approfondi d'une reprise de sous-domaine

La reprise de sous-domaine se produit lorsqu'une personne extérieure à l'entreprise prend le contrôle de sous-domaines inutilisés et obsolètes. Prenez Microsoft, par exemple. Les chercheurs ont trouvé des centaines de sous-domaines vulnérables à la prise de contrôle de sous-domaines dans son réseau. Un groupe de spam, en fait, a été vu héberger ses publicités pour un casino de poker sur ces sous-domaines Microsoft:

  • portail[.]ds[.]Microsoft[.]com
  • parfait10[.]Microsoft[.]com
  • ies.global[.]Microsoft[.]com
  • blog-ambassadeurs[.]Microsoft[.]com

Les services de recherche de captures d'écran ne voient plus le contenu de spam sur aucun des domaines, car Microsoft a rapidement résolu les problèmes sur ces sous-domaines. Cependant, la Wayback Machine nous a permis de voir l'annonce de spam hébergée sur le sous-domaine réputé blog-ambassadors[.]Microsoft[.]com en février 2020.

Les quatre sous-domaines ci-dessus ou ceux qui étaient apparemment vulnérables ne sont cependant pas les seuls que Microsoft devrait rechercher. La recherche de sous-domaine a révélé que Microsoft[.]com a 10 000 sous-domaines, allant des services de support de Microsoft aux sous-domaines de Microsoft Teams.

N'importe lequel de ces sous-domaines pourrait être vulnérable. La recherche de sous-domaines a également révélé que certains d'entre eux, tels que wishlist-int[.]mp[.]Microsoft[.]com, n'a peut-être pas été mis à jour depuis un certain temps.

Conséquences possibles d'une reprise de sous-domaine

Outre l'hébergement de spam, les acteurs de la menace peuvent utiliser des sous-domaines vulnérables pour des activités plus néfastes. Les chasseurs de primes de bogues, par exemple, ont découvert que les sous-domaines Microsoft vulnérables peuvent conduire à une prise de contrôle de compte.

En substance, une fois que les acteurs de la menace détournent un sous-domaine, ils peuvent:

  • Défaites un site Web et hébergez du spam ou un contenu non crédible dessus
  • Piratez les comptes d'utilisateurs et les appareils

Il existe également des cas de reprises plus avancées telles que la prise de contrôle de sous-domaine de saostatic[.]uber[.]com, qui a permis aux attaquants de contourner entièrement le protocole de connexion d'authentification unique (SSO) d'auth[.]uber[.]com.

Les acteurs de la menace peuvent prendre le contrôle des sous-domaines vulnérables avec les bons outils et ressources. En tant que telles, les entreprises doivent également utiliser les bons outils pour lutter contre la menace. Les recherches de sous-domaines permettent aux entreprises de trouver des sous-domaines et de créer un inventaire détaillé. À partir de là, ils peuvent identifier les sous-domaines qu'ils peuvent avoir besoin de supprimer et ceux qu'ils doivent mettre à jour.