Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, alt etki alanı devralma işleminin yaygın güvenlik tehdidi ve buna karşı hafifletmek için atabileceğiniz adımlar açıklanmaktadır.
Alt etki alanı devralma nedir?
Alt etki alanı devralmaları, birçok kaynağı düzenli olarak oluşturan ve silip alan kuruluşlar için yaygın, yüksek önem derecesine sahip bir tehdittir. Kullanımdan kaldırılmış bir Azure kaynağına işaret eden bir DNS kaydınız olduğunda alt alan adının ele geçirilmesi gerçekleşebilir. Bu tür DNS kayıtları "askıda kalan DNS" girişleri olarak da bilinir. CNAME kayıtları özellikle bu tehdide karşı savunmasızdır. Alt etki alanı ele geçirme işlemleri, kötü niyetli aktörlerin kuruluşun etki alanına yönelik trafiği kötü niyetli etkinlik gerçekleştiren bir siteye yönlendirmesine olanak tanır.
Alt etki alanı devralma için yaygın bir senaryo:
YARATILIŞ:
Tam Nitelikli Alan Adı (FQDN)
app-contogreat-dev-001.azurewebsites.netolan bir Azure kaynağı sağlarsınız.DNS bölgenizde,
greatapp.contoso.comalt etki alanı ile trafiği Azure kaynağınıza yönlendiren bir CNAME kaydı atarsınız.
Hizmetlerin Kaldırılması:
Azure kaynağı, artık gerekli olmadığında kullanımdan kaldırılır ve silinir.
Bu noktada, CNAME kaydı
greatapp.contoso.comDNS bölgenizden kaldırılmalıdır . CNAME kaydı kaldırılmazsa, etkin bir etki alanı olarak tanıtılır ancak trafiği etkin bir Azure kaynağına yönlendirmez. Artık askıda bir DNS kaydınız var.Artık savunmasız olan sarkan alt etki alanı
greatapp.contoso.com, başka bir Azure aboneliğine ait kaynak tarafından ele geçirilebilir.
DEVRALMA:
Yaygın olarak kullanılan yöntemleri ve araçları kullanan bir tehdit aktörü, sarkan alt etki alanını bulur.
Tehdit aktörü, daha önce denetlediğiniz kaynakla aynı FQDN'ye sahip bir Azure kaynağı sağlar. Bu örnekte,
app-contogreat-dev-001.azurewebsites.net.Alt etki
greatapp.contoso.comalanına gönderilen trafik artık içeriği denetlediği kötü amaçlı aktörün kaynağına yönlendirilir.
Alt etki alanı devralma riski
BIR DNS kaydı kullanılabilir olmayan bir kaynağı işaret ettiğinde, kaydın kendisi DNS bölgenizden kaldırılmalıdır. Silinmezse, bu bir "askıda DNS" kaydıdır ve alt etki alanının ele geçirilmesi olasılığı oluşturur.
Başıboş DNS kayıtları, saldırganların zararlı bir web sitesi veya hizmet barındırmak için ilişkili DNS adının kontrolünü ele geçirmesini mümkün hale getirir. Bir kuruluşun alt etki alanında kötü amaçlı sayfalar ve hizmetler aşağıdakilere neden olabilir:
Alt etki alanının içeriği üzerinde denetim kaybı - Kuruluşunuzun içeriğini güvence altına alma konusundaki yetersizliği, marka zararına ve güven kaybına yol açan olumsuz basın.
Farkında olmayan ziyaretçilerden tanımlama bilgisi toplama - Web uygulamalarının oturum tanımlama bilgilerini alt etki alanlarına (*.contoso.com) sunması yaygındır. Herhangi bir alt etki alanı bunlara erişebilir. Tehdit aktörleri, gerçek görünümlü bir sayfa oluşturmak, kötü niyetli olmayan kullanıcıları ziyaret etmeleri için kandırmak ve tanımlama bilgilerini (hatta güvenli tanımlama bilgilerini) toplamak için alt etki alanı devralma özelliğini kullanabilir. Yaygın bir yanılgı, SSL sertifikalarının kullanılmasının sitenizi ve kullanıcılarınızın tanımlama bilgilerini devralma işleminden koruduğudur. Ancak, bir tehdit aktörü geçerli bir SSL sertifikasına başvurmak ve almak için ele geçirilen alt etki alanını kullanabilir. Geçerli SSL sertifikaları, onlara güvenli tanımlama bilgilerine erişim verir ve kötü amaçlı sitenin algılanan meşruluğunu daha da artırabilir.
Kimlik avı kampanyaları - Kötü amaçlı aktörler genellikle kimlik avı kampanyalarında orijinal görünümlü alt etki alanları kullanır. Risk hem kötü amaçlı web sitelerine hem de MX kayıtlarına kadar uzanır ve bu da tehdit aktörlerinin güvenilir markalarla ilişkili meşru alt etki alanlarıyla ilgili e-postalar almasını sağlayabilir.
Diğer riskler - Kötü amaçlı siteler XSS, CSRF, CORS atlama ve daha fazlası gibi diğer klasik saldırılara geçiş yapmak için kullanılabilir.
Sarkan DNS girdilerini tanımlama
Kuruluşunuzda sallanabilecek DNS girdilerini tanımlamak için Microsoft'un GitHub'da barındırılan "Get-DanglingDnsRecords" PowerShell araçlarını kullanın.
Bu araç, Azure müşterilerinin aboneliklerinde veya kiracılarında oluşturulan mevcut bir Azure kaynağıyla ilişkilendirilmiş bir CNAME'e sahip tüm etki alanlarını listelemesine yardımcı olur.
CNAME'leriniz diğer DNS hizmetlerindeyse ve Azure kaynaklarını gösteriyorsa, CNAME'leri araç için bir giriş dosyasında sağlayın.
Araç, aşağıdaki tabloda listelenen Azure kaynaklarını destekler. Araç, kiracının tüm CNAM'lerini ayıklar veya girdi olarak alır.
| Hizmet | Tür | FQDNproperty | Örnek |
|---|---|---|---|
| Azure Front Door | microsoft.network/frontdoors | properties.cName | abc.azurefd.net |
| Azure Blob Storage | microsoft.storage/storageaccounts | properties.primaryEndpoints.blob | abc.blob.core.windows.net |
| Azure CDN | microsoft.cdn/profiles/endpoints | properties.sunucuAdı | abc.azureedge.net |
| Genel IP adresleri | microsoft.network/publicipaddresses | properties.dnsSettings.fqdn (özellikler.dnsAyarları.tamAlanAdı) | abc.EastUs.cloudapp.azure.com |
| Azure Traffic Manager | microsoft.network/trafficmanagerprofiles | properties.dnsConfig.fqdn | abc.trafficmanager.net |
| Azure Container Instance | microsoft.containerinstance/containergroups | properties.ipAddress.fqdn | abc.EastUs.azurecontainer.io |
| Azure API Management | microsoft.apimanagement/service | özellikler.etkiAlanıYapılandırmaları.etkiAlanıAdı | abc.azure-api.net |
| Azure App Service | microsoft.web/sites | properties.defaultHostName | abc.azurewebsites.net |
| Azure Uygulama Hizmeti - Slotlar | microsoft.web/sites/slots | properties.defaultHostName | abc-def.azurewebsites.net |
Önkoşullar
Sorguyu aşağıdakilere sahip bir kullanıcı olarak çalıştırın:
- Azure aboneliklerine en az okuyucu düzeyinde erişim
- Azure kaynak grafiğine okuma erişimi
Kuruluşunuzun kiracısının Genel Yöneticisiyseniz, kuruluşunuzun tüm aboneliklerine erişim kazanmak için Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek için Erişimi yükseltme bölümündeki yönergeleri izleyin
İpucu
Azure Kaynak Grafı, büyük bir Azure ortamınız varsa göz önünde bulundurmanız gereken kısıtlama ve sayfalama sınırlarına sahiptir.
Büyük Azure kaynak veri kümeleriyle çalışma hakkında daha fazla bilgi edinin.
Araç, bu sınırlamaları önlemek için abonelik toplu işlemini kullanır.
Betiği çalıştırın
Get-DanglingDnsRecords.ps1 adlı PowerShell betiği hakkında daha fazla bilgi edinin ve GitHub'dan indirin: https://aka.ms/Get-DanglingDnsRecords.
Sarkan DNS girişlerini düzeltme
DNS bölgelerinizi gözden geçirin ve sarkan veya devralınan CNAME kayıtlarını belirleyin. Alt etki alanları sallanıyorsa veya ele geçirildiği tespit edilirse, güvenlik açığı bulunan alt etki alanları kaldırın ve aşağıdaki adımlarla riskleri azaltın:
DNS bölgenizden, artık sağlanmamış kaynakların FQDN'lerine işaret eden tüm CNAME kayıtlarını kaldırın.
Trafiğin kontrolünüzdeki kaynaklara yönlendirilebilmesini sağlamak için, geçersiz alt etki alanlarının CNAME kayıtlarında belirtilen FQDN'leri kullanarak daha fazla kaynak sağlayın.
Belirli alt etki alanlarına referansları uygulama kodunuzda inceleyin ve yanlış veya güncel olmayan alt etki alanı referanslarını güncelleyin.
Herhangi bir ödün verilip verilmediğini araştırın ve kuruluşunuzun olay müdahale prosedürlerine göre işlem yapın. Araştırma için ipuçları ve en iyi yöntemler:
Uygulama mantığınız OAuth kimlik bilgileri gibi gizli dizilerin sarkan alt etki alanlarına gönderilmesine veya gizliliğe duyarlı bilgilerin bu alt etki alanlarına iletilmesine neden oluyorsa, bu verilerin üçüncü taraflara açıklanma olasılığı vardır.
Kaynak sağlama kaldırıldığında CNAME kaydının dns bölgenizden neden kaldırılmadığını anlayın ve gelecekte Azure kaynaklarının yetkisi kaldırıldığında DNS kayıtlarının uygun şekilde güncelleştirilmesini sağlamak için gerekli adımları uygulayın.
Askıda kalan DNS girdilerini önleyin
Kuruluşunuzun, sallanan DNS girdilerini ve sonuçta elde edilen alt etki alanı devralmalarını önlemeye yönelik işlemler uyguladığından emin olmak, güvenlik programınızın önemli bir parçasıdır.
Bazı Azure hizmetleri, önleyici önlemlerin oluşturulmasına yardımcı olacak özellikler sunar ve aşağıda ayrıntılı olarak açıklanmaktadır. Bu sorunu önlemeye yönelik diğer yöntemler, kuruluşunuzun en iyi yöntemleri veya standart işletim yordamları aracılığıyla oluşturulmalıdır.
App Service için Microsoft Defender'ın etkinleştirilmesi
Bulut için Microsoft Defender tümleşik bulut iş yükü koruma platformu (CWPP), Azure, hibrit ve çoklu bulut kaynaklarınızı ve iş yüklerinizi korumaya yönelik bir dizi plan sunar.
Microsoft Defender for App Service planı, boşta kalan DNS algılamayı içerir. Bu plan etkinleştirildiğinde, bir App Service web sitesini devreden çıkarır ancak özel etki alanını DNS kayıt şirketinizden kaldırmazsanız, güvenlik uyarıları alırsınız.
etki alanlarınızın Azure DNS ile veya bir dış etki alanı kayıt şirketiyle yönetilip hem Windows hem de Linux üzerinde App Service için geçerli olması fark etmeksizin Bulut için Microsoft Defender'nin sarkan DNS koruması kullanılabilir.
Bu ve bu Microsoft Defender planlarının diğer avantajları hakkında daha fazla bilgi için bkz. App Service için Microsoft Defender'a giriş.
Azure DNS takma ad kayıtlarını kullanın
Azure DNS'in alias kayıtları, bir DNS kaydının yaşam döngüsünü bir Azure kaynağıyla birleştirerek asılı kalan referansları önleyebilir. Örneğin, genel bir IP adresine veya bir Traffic Manager profiline işaret eden, bir takma ad kaydı olarak tanımlanan bir DNS kaydını dikkate alın. Bu temel kaynakları silerseniz, DNS diğer adı kaydı boş bir kayıt kümesine dönüşür. Artık silinen kaynağa başvurmaz. Diğer ad kayıtlarıyla koruyabileceklerinizle ilgili sınırlamalar olduğunu unutmayın. Bugün liste şu şekilde sınırlıdır:
- Azure Front Door
- Traffic Manager profilleri
- Azure Content Delivery Network (CDN) uç noktaları
- Genel IP'ler
Günümüzdeki sınırlı hizmet olanaklarına rağmen, mümkün olduğunca alt etki alanı devralmalarına karşı koruma sağlamak için diğer ad kayıtlarını kullanmanızı öneririz.
Azure DNS'nin diğer ad kayıtlarının özellikleri hakkında daha fazla bilgi edinin.
Azure Uygulaması Hizmeti'nin özel etki alanı doğrulamasını kullanma
Azure App Service için DNS girdileri oluştururken, Etki Alanı Doğrulama Kimliği ile asuid.{subdomain} şeklinde bir TXT kaydı oluşturun. Böyle bir TXT kaydı mevcut olduğunda, başka hiçbir Azure Aboneliği Özel Etki Alanını doğrulayıp devralamaz.
Bu kayıtlar, birinin CNAME girişinizdeki aynı ada sahip Azure Uygulaması Hizmeti oluşturmasını engellemez. Etki alanı adının sahipliğini kanıtlama özelliği olmadan tehdit aktörleri trafiği alamaz veya içeriği denetleyemez.
Mevcut özel DNS adını Azure Uygulaması Hizmeti ile eşleme hakkında daha fazla bilgi edinin.
Tehdidi azaltmak için süreçler oluşturma ve otomatikleştirme
Dns tehditlerini önlemek için temizleme işlemlerini çalıştırmak genellikle geliştiricilere ve operasyon ekiplerine bağlı olur. Aşağıdaki uygulamalar, kuruluşunuzun bu tehditten muzdarip olmamasını sağlamaya yardımcı olur.
Önleme yordamları oluşturma:
Uygulama geliştiricilerinizi kaynakları her sildiklerinde adresleri yeniden yönlendirmeleri için eğitin.
Bir hizmetin yetkisini alırken gerekli denetimler listesine "DNS girdisini kaldır" yazın.
Özel DNS girişi olan tüm kaynaklara silme kilitleri yerleştirin. Silme kilidi, kaynağın sağlamasını kaldırmadan önce eşlemenin kaldırılması gerektiğini gösteren bir gösterge görevi görür. Bu gibi ölçüler yalnızca iç eğitim programlarıyla birleştirildiğinde kullanılabilir.
Bulma yordamları oluşturma:
Alt etki alanlarınızın tümünün Azure kaynaklarına eşlendiğinden emin olmak için DNS kayıtlarınızı düzenli olarak gözden geçirin:
- Mevcut - *.azurewebsites.net veya *.cloudapp.azure.com gibi Azure alt etki alanlarına işaret eden kaynaklar için DNS bölgelerinizi sorgulayın (Bkz . Azure etki alanlarının başvuru listesi).
- Sahibi sizsiniz - DNS alt etki alanlarınızın hedeflediğini tüm kaynaklara sahip olduğunuzu onaylayın.
Azure tam etki alanı adı (FQDN) uç noktalarınızın ve uygulama sahiplerinin hizmet kataloğunu koruyun. Hizmet kataloğunuzu oluşturmak için aşağıdaki Azure Kaynak Grafı sorgu betiğini çalıştırın. Bu betik, erişiminiz olan kaynakların FQDN uç nokta bilgilerini projelendirilir ve bunları bir CSV dosyasında oluşturur. Kiracınızın tüm aboneliklerine erişiminiz varsa betik, aşağıdaki örnek betikte gösterildiği gibi tüm bu abonelikleri dikkate alır. Sonuçları belirli bir abonelik kümesiyle sınırlamak için betiği gösterildiği gibi düzenleyin.
Düzeltme yordamları oluşturma:
- DNS girişlerini sallarken ekibinizin herhangi bir güvenlik riski olup olmadığını araştırması gerekir.
- Kaynak kullanımdan kaldırıldığında adresin neden yeniden yönlendirilmediğinden araştırın.
- Artık kullanımda değilse DNS kaydını silin veya kuruluşunuza ait doğru Azure kaynağına (FQDN) işaret edin.
DNS işaretçilerini temizleme veya DNS'yi yeniden talep etme
Klasik bulut hizmeti kaynağı silindiğinde, ilgili DNS, Azure DNS ilkeleri doğrultusunda rezerve edilir. Rezervasyon döneminde DNS'nin tekrar kullanımı, DNS'ye aslında sahip olan aboneliğin Microsoft Entra kiracısına ait abonelikler dışında yasaktır. Rezervasyonun süresi dolduktan sonra, DNS herhangi bir abonelik tarafından talep edilebilir. DNS rezervasyonları alarak müşterinin 1) söz konusu DNS ile ilgili tüm ilişkilendirmeleri/işaretçileri temizlemesi veya 2) Azure'da DNS'yi yeniden talep etme süresi vardır. İstenmeyen DNS girdilerini en erken silmeniz önerilir. Bulut hizmeti adı, ilgili bulutun DNS bölgesine eklenerek ayrılan DNS adı türetilebilir.
- Herkese Açık - cloudapp.net
- Mooncake - chinacloudapp.cn
- Fairfax - usgovcloudapp.net
- BlackForest - azurecloudapp.de
Örneğin, kamu bulutta "test" adlı barındırılan bir hizmetin DNS adresi "test.cloudapp.net" olur.
Örnek: 'A' aboneliği ve 'B' aboneliği, 'AB' Microsoft Entra kiracısına ait olan tek aboneliktir. 'A' aboneliği, DNS adı 'test.cloudapp.net' olan klasik bir bulut hizmeti 'test' içerir. Bulut hizmeti silindikten sonra, 'test.cloudapp.net' DNS adında bir rezervasyon yapılır. Rezervasyon döneminde yalnızca 'A' aboneliği veya 'B' aboneliği 'test' adlı klasik bir bulut hizmeti oluşturarak 'test.cloudapp.net' DNS adını talep edebilecektir. Başka hiçbir aboneliğin talepte bulunmasına izin verilmez. Rezervasyon döneminden sonra Azure'daki tüm abonelikler artık 'test.cloudapp.net' talep edebilir.
Sonraki adımlar
Alt etki alanı devralmaya karşı savunmak için kullanabileceğiniz ilgili hizmetler ve Azure özellikleri hakkında daha fazla bilgi edinmek için aşağıdaki sayfalara bakın.
Sallanan DNS girişleri algılandığında uyarı almak için App Service için Microsoft Defender'ı etkinleştirin.
Azure Uygulaması Hizmeti'ne özel etki alanları eklerken etki alanı doğrulama kimliği kullanma
Hızlı Başlangıç: Azure PowerShell kullanarak ilk Kaynak Grafı sorgunuzu çalıştırma