如何避免在Azure环境中进行子域接管

Microsoft Azure中活动但未使用的子域为攻击者提供了将其用于恶意目的的机会。这是在攻击者之前识别和删除易受攻击的子域的方法。

Email loading= Puppeteer hands manipulating strings" itemprop="contentUrl" />
斯潘塞·沃伦(Spencer Whalen)/盖蒂图片社

您是否设置了域并指向云资源然后删除了站点?您是否在域名服务设置中将CNAME留在了后面?许多管理员都有,攻击者也知道。这些失误使攻击者可以在您的子域记录中创建一个网站并接管这些网站。子域接管太普遍了,尤其是在创建和删除许多资源的大型组织中。特别是CNAME记录可以接受。恶意行为者经常使用这些站点将流量和活动重定向到其他各种站点。甚至 微软不能幸免 解决问题。

域名服务(DNS)是网络基础结构中经常被误解的部分。 DNS的错误配置经常会导致网络中出现大量问题。仅更改记录后,它看起来就好像您的网站已被黑客入侵。它还可能会使您的资产遭受攻击。

攻击者如何利用子域

微软笔记 ,则在设置和配置Azure资源时开始将自己暴露于子域接管。假设Azure资源的名称是app-on-azure001.azurewebsites.net。然后,您在实际DNS区域中为CNAME记录分配一个子域,该子域将流量路由到Azure资源。无需将用户发送到app-on-azure001.azurewebsites.net,您可以将其发送到easyurl.domain.com。以后,您确定不需要子域。您取消设置或删除该网站。目前,您应该从域名服务区域中删除subdomain.yourdomain.com。如果CNAME仍然存在,则表明它是一个活动域,但不会通过活动的Azure资源路由流量。这就是所谓的“悬挂DNS记录”。

攻击者使用各种工具和脚本来搜索和查找这些子域。基本的DNS查找很容易告诉攻击者CNAME记录现在不再处于路由选择中。然后,攻击者使用与您分配给现在丢失的Azure资源相同的名称来配置Azure资源。他们的攻击网站现在称为app-on-azure001.azurewebsites.net,您的subdomain.domain.com现在正在通过您的域名资源路由其网站。攻击将包括失去对您内容的控制权,以及向攻击者网站收集Cookie和访问者信息。

要继续阅读本文,请立即注册