La adquisición de subdominios es una vulnerabilidad que ha afectado a los usuarios de la nube desde el comienzo de la nube. Esta es una vulnerabilidad común que los atacantes aprovechan para secuestrar subdominios confiables existentes, lo que les permite hacerse pasar por organizaciones y atacar a los usuarios y empleados de sus sitios, o mostrar contenido spam a través de sitios legítimos. Pero los grandes proveedores de la nube, como Microsoft, a menudo lo han ignorado debido a la supuesta baja probabilidad de que se encuentre un dominio vulnerable.
Solo en Microsoft Azure, los investigadores de Keytos ahora descubren alrededor de 15.000 subdominios vulnerables cada mes utilizando certificados criptográficos. A menos que se tomen medidas, estos presentan un número creciente de oportunidades para que los ciberdelincuentes se hagan pasar por empresas de renombre en ciberataques convincentes, pero poco sofisticados.
Si bien Keytos ha notificado a más de 1000 organizaciones sobre sus problemas de dominio en el último año, solo el 2% de ellas ha tomado medidas; la mayoría simplemente ignora la advertencia o incluso afirma que no valía la pena el tiempo que llevaría resolver el problema arreglar.
Primero, analicemos qué es una adquisición de subdominio y cómo funciona. Imagine que está organizando una venta emergente y crea un sitio especial en Azure para esta venta “wintersale.myshop.com”. Cuando finaliza la venta, elimina su sitio web de Azure, pero olvida eliminar su entrada DNS (Sistema de Nombres de Dominio) que dirige su dominio “wintersale.myshop.com” al sitio web de Azure. Este error deja una puerta trasera digital abierta para que un ciberdelincuente cree un sitio en Azure que se parezca a su sitio web y utilice su dominio olvidado para este nuevo sitio fraudulento. Para cualquier usuario desprevenido, su sitio fraudulento parece completamente legítimo ya que está alojado en su dominio. Como se evidencia en este video, incluso los administradores de contraseñas pueden ser engañados para que ingresen automáticamente contraseñas de usuario en estos sitios, no solo exponiendo las credenciales de los clientes, sino también brindando a los usuarios una falsa sensación de seguridad.
Este es un peligro real y presente para millones de usuarios de la web y Keytos está tomando la iniciativa para generar conciencia e instar a los sitios a rectificar este problema crítico. Desafortunadamente, dado que este ataque requiere más trabajo para extraer datos de los usuarios (como la creación de una campaña de phishing) y no se considera tan malo como una violación total de datos a los ojos de las empresas, la mayoría de las organizaciones (incluidos los gobiernos federales y locales) ignoraron la advertencia. de los investigadores de Keytos dando la alarma. Un administrador de IT del gobierno incluso dijo a nuestros investigadores: “Es demasiado trabajo incluso eliminar la entrada DNS y no es mi problema, por lo que no haría todo el papeleo para arreglar un dominio”.
Actualmente puede ver una adquisición de subdominio en acción aquí, donde el equipo de Keytos ha creado un sitio ficticio para proteger al gobierno canadiense, ya que no se ha tomado ninguna medida para proteger este subdominio: https://intra.temp.ejobs.careers.gov.on.ca/.
Si bien este es un problema conocido en la industria de la seguridad cibernética y muchos investigadores publican hallazgos a menor escala sobre adquisiciones de subdominios, esto no se ha tomado en serio. por parte de los proveedores de nube debido a la falsa suposición de que los subdominios vulnerables siempre son difíciles de encontrar y, por lo tanto, es poco probable que corran un riesgo real. Keytos ahora tiene una manera fácil y automatizada de verificar las entradas DNS para encontrar sitios vulnerables, y podemos ver que los piratas informáticos han tenido acceso a decenas de miles de subdominios legítimos como resultado de la complacencia del proveedor.
Dado que hay miles de millones de sitios, sería imposible para una organización escanear eficientemente todos los sitios para encontrar dominios vulnerables, los investigadores de Keytos pudieron automatizar la búsqueda de dominios ampliando nuestra herramienta EZMonitor con un escáner automatizado que:
1) Utiliza registros de transparencia de certificados para encontrar las CA (autoridades certificadoras) que Azure utiliza para emitir certificados para sitios web alojados en Azure. Para que los navegadores confíen en ellos, todos los certificados emitidos en el mundo deben agregarse a los registros de transparencia de certificados. Usamos esta lista para encontrar qué autoridades de certificación han emitido sitios alojados en Azure conocidos, lo que nos ayuda a reducir cuántos dominios tenemos que verificar más.
2) Escanea todos los registros de transparencia de certificados para esas autoridades de certificación específicas y comprueba si el sitio sigue funcionando. Cuando se descubre que una de las CA utilizadas por Azure ha emitido un certificado, examinamos más a fondo ese dominio comprobando si el sitio sigue funcionando. Esto nos ayuda a limitar la búsqueda para evitar que los servidores DNS limiten la velocidad.
3) Si el subdominio todavía apunta a un recurso pero el sitio no está operativo, nuestro sistema verifica si el sitio apunta a Azure. Ahora que hemos verificado que el sitio no está operativo, verificamos si la entrada DNS apunta a un recurso de Azure.
4) Si el DNS del sitio apunta a Azure, EZMonitor verifica si ese recurso de Azure está disponible; si lo está, este sitio es un sitio vulnerable y se agrega a nuestra base de datos de dominios de Azure vulnerables. Esta verificación inteligente permitió EZMonitor encontrar más de 30.000 dominios vulnerables en su primer mes (y miles por mes desde entonces).
Como muestra la imagen de arriba, la gran cantidad de dominios vulnerables solo está arañando la superficie del problema. Microsoft tiene más de 480.000 organizaciones, incluido el 85 % de las empresas de Fortune 500. Para ayudar a solucionar este problema desde la raíz, nos pusimos en contacto con Microsoft para intentar solucionar el problema y evitar que las organizaciones sean vulnerables a este ataque.
Cuando Keytos se acercó a Microsoft por primera vez el año pasado, Microsoft le dijo al equipo de investigación de Keytos que estaban trabajando en el problema y que pronto tendrían algunas soluciones. Mientras tanto, Keytos ayudó a Microsoft a eliminar más de 700 de sus propios dominios vulnerables. Desafortunadamente, cuando Microsoft publicó sus soluciones, no abordaron el núcleo del problema, dejando a miles de organizaciones vulnerables.
Como muestran las cifras anteriores, la mayoría de las organizaciones no tomaron en serio la amenaza. La mayoría de ellos, ignorando que los abordáramos todos juntos, otros eliminaron rápidamente una entrada DNS sin mirar la causa raíz que permite múltiples recurrencias de este problema. Puede leer con más detalle en uno de los blogs de nuestros investigadores sobre lo difícil que fue intentar que las organizaciones para escuchar a los investigadores de seguridad.
Si un atacante se apodera de un subdominio real, puede robar las credenciales de los usuarios, utilizar su reputación para legitimar información falsa y engañar a sus clientes para que descarguen malware. Solo en el cuarto trimestre de 2022, el Grupo de Trabajo Anti-Phishing detectó 1.350.037 ataques de phishing, un nuevo récord, el peor de phishing en todo el mundo. Los subdominios vulnerables facilitan mucho la vida a los ciberdelincuentes detrás de este tipo de ataques.
Miremos más de cerca los escenarios de ataque que a la mayoría de estas organizaciones les faltaba.
Como se muestra en el vídeo al inicio de este blog, un atacante puede crear una campaña de phishing que engañará a sus usuarios mejor capacitados ya que es un subdominio real por lo que pasaría todas las pruebas que enseñamos a hacer a los usuarios finales antes de confiar en un sitio. Además, algunos administradores de contraseñas completarán automáticamente la contraseña del usuario, por lo que incluso antes de que el usuario se dé cuenta de que se trata de un sitio de phishing, es posible que el atacante ya haya robado la contraseña.
Dado que esto proviene de su dominio, los atacantes pueden usarlo para dar legitimidad a la información de esta página, así como para dar legitimidad SEO (optimización de motores de búsqueda) a sitios fraudulentos mediante enlaces desde sitios de gran reputación.
Afortunadamente, el ataque más común que hemos visto en la naturaleza es el de los piratas informáticos que utilizan estos sitios para colocar sitios web de mal gusto con botones de descarga para malware obvio. Como esta imagen a continuación de un sitio de Microsoft que fue descubierta por Kevin Beaumont. Ahora imagina que en lugar de “Reproductor MP3 gratuito” hubieran puesto un ejecutable llamado “Microsoft Graph Explorer.”
Como miembro responsable de la comunidad de seguridad cibernética, hemos realizado la verificación de URL vulnerables de forma completamente GRATUITA para cualquier persona. Simplemente vaya al portal EZMonitor e ingrese su dominio y le informaremos si hemos encontrado subdominios vulnerables (no revelaremos los subdominios reales sin validar primero la propiedad del dominio).
Desafortunadamente, como usuarios finales no hay nada que podamos hacer para protegernos de este tipo de ataques, sin embargo, podemos exigir a las empresas que se tomen esto más en serio.
Son muchas las acciones que se deben tomar para prevenir este tipo de ataques.
1) Realice un seguimiento de todos sus subdominios utilizando una solución de monitoreo de transparencia de certificados y asegúrese de eliminar cualquier DNS pendiente. Esto debe automatizarse y no puede depender del proceso, ya que los humanos cometemos errores.
2) Proteja sus dominios de la emisión no autorizada de certificados fuera de las CA que utiliza con registros CAA. De los miles de dominios que inspeccionamos, sólo dos organizaciones (FedEx y Lego Land) tenían registros CAA que impedían a los atacantes emitir certificados para sus dominios.
3) Tome en serio cualquier divulgación de seguridad. Los investigadores harán todo lo posible para informarle que tiene un problema antes de que un atacante lo encuentre, y las revelaciones le brindan la oportunidad de hacer preguntas y obtener ayuda para tomar rápidamente la acción más efectiva.
Entrada DNS: Una entrada DNS (Sistema de Nombres de Dominio) es un registro en un servidor DNS que vincula un nombre de dominio a una dirección IP. Esto permite a los usuarios de Internet acceder a sitios web escribiendo el nombre de dominio en lugar de la dirección IP numérica.
Certificados TLS/SSL: Un certificado TLS (Transport Layer Security) o SSL (Secure Sockets Layer) es un documento digital que proporciona autenticación para un sitio web y permite una conexión cifrada. Verifica que una página web segura (mediante HTTPS) esté cifrada correctamente y que toda la información transmitida entre un usuario y el sitio sea privada.
Registro CAA: Un registro CAA (Autorización de Autoridad Certificadora) es un tipo de registro DNS que permite al titular de un nombre de dominio especificar qué autoridades certificadoras (CA) pueden emitir certificados para su dominio. Esto ayuda a evitar la emisión no autorizada de certificados TLS/SSL para un dominio.
Registros de Transparencia de Certificados: Los Registros de transparencia de certificados son registros públicos que contienen información sobre todos los certificados digitales que hayan sido emitidos por una Autoridad Certificadora (CA). Forman parte de un sistema conocido como Transparencia de Certificados (CT), cuyo objetivo es detectar y prevenir certificados SSL/TLS emitidos por error y fraudulentos, mejorando así la seguridad de Internet.
