Récemment, un nouveau vecteur d'attaque particulièrement puissant a été découvert dans le système de noms de domaine et a été largement exploité. Appelée « Sitting Ducks », cette attaque repose sur des configurations DNS défaillantes et une prévention insuffisante du côté des fournisseurs DNS. Plusieurs variantes de cette méthode existent, mais aucune ne nécessite que l'attaquant enregistre lui-même un nom de domaine, ce qui la distingue des détournements DNS traditionnels.
Les attaques de type « Sitting Ducks » et leur utilisation pour détourner des noms de domaines restent encore peu discutées au sein de la communauté de cybersécurité. Contrairement aux vulnérabilités logicielles, les vecteurs d’attaque visant le DNS sont souvent considérés comme inévitables et ne font pas l’objet des mêmes mesures d’atténuation, offrant ainsi une surface d’attaque idéale pour les cybercriminels. Peu de chercheurs spécialisés dans les menaces connaissent cette méthode, et les informations disponibles à ce sujet sont encore limitées.
Pourtant, la fréquence de ces attaques et les risques qu’elles posent aux organisations sont bien plus élevés que ce qui avait été initialement estimé et rapporté. À ce jour, plus d’une douzaine d’acteurs cybercriminels liés à la Russie exploitent ce vecteur pour détourner discrètement des noms de domaine. Pire encore, des études récentes montrent qu’un million de noms de domaines enregistrés sont vulnérables, confirmant ainsi la généralisation de ces techniques et leur adoption massive pour renforcer des campagnes malveillantes.
Trois facteurs clés expliquent le succès grandissant du détournement de noms de domaines via « Sitting Ducks » :
Tout d’abord, elles sont faciles à exécuter. Ces attaques exploitent une mauvaise configuration des paramètres DNS d’un nom de domaine, notamment lorsque le serveur pointe vers un mauvais serveur de noms faisant autorité. Un acteur malveillant peut ainsi détourner un nom de domaine enregistré auprès d’un fournisseur DNS ou d’un hébergeur web sans avoir besoin d’accéder au compte du propriétaire légitime. Une fois le contrôle du nom de domaine obtenu, il peut lancer diverses activités malveillantes sous couvert d’une identité légitime : diffusion de logiciels malveillants, campagnes de phishing, usurpation d’identité ou exfiltration de données. Les noms de domaines vulnérables sont loin d’être rares. Cette accessibilité, la simplicité technique de mise en œuvre et le fait que les étapes suivantes soient encore plus discrètes peuvent attirer un nombre croissant de cybercriminels.
Ensuite, cette méthode est presque totalement méconnue. La vulnérabilité sur laquelle repose cette attaque, appelée Lame Delegation (délégation boiteuse), n’est pas officiellement reconnue comme une CVE par les grandes autorités de sécurité comme la CISA. Huit ans après sa première découverte, ce vecteur d’attaque reste largement ignoré et n’a toujours pas été résolu.
Enfin, elle est difficile à détecter. Lorsqu’un nom de domaine est compromis, les attaquants peuvent mettre en place une infrastructure capable d’échapper aux mécanismes de détection existants. Grâce à la bonne réputation des noms de domaines détournés, ceux-ci sont souvent perçus comme sûrs ou inoffensifs par les contrôles de sécurité, permettant ainsi aux utilisateurs de se connecter au site compromis sans se méfier, facilitant l’exécution d’activités malveillantes.
En réalité, cette attaque est si facile à mettre en œuvre que l'on observe des détournements de domaines tournants, où le même domaine est successivement pris en otage par plusieurs acteurs. Ce phénomène s'explique par le fait que les pirates ciblent souvent des fournisseurs de services vulnérables proposant des comptes gratuits, comme DNS Made Easy, et "empruntent" ainsi des noms de domaines pendant 30 à 60 jours. Dans certains cas, des chercheurs ont observé que les acteurs malveillants conservaient le contrôle du domaine pendant une période plus longue. Une fois le compte gratuit expiré, le nom de domaine est « abandonné » par le premier acteur, puis soit parqué, soit récupéré par un autre groupe malveillant.
Si les attaques de type « Sitting Ducks » sont relativement simples à exécuter et difficiles à détecter, elles restent parfaitement évitables grâce à une bonne configuration des paramètres au niveau des registars (bureaux d’enregistrement des noms de domaines) et des fournisseurs DNS. Les erreurs de configuration DNS proviennent souvent d’oublis. Leur résolution nécessite une collaboration entre plusieurs parties : le détenteur du nom de domaine, qui reste responsable de sa configuration, ainsi que les bureaux d’enregistrement et les fournisseurs DNS, qui ont la capacité de rendre ces détournements plus difficiles à mener ou plus faciles à corriger.
En résumé, bien que le DNS soit le pilier de la communication sur Internet, il est souvent négligé en tant que surface d’attaque stratégique, ce qui le rend vulnérable. Adopter une approche de gestion protectrice du DNS est donc aujourd’hui plus indispensable
que jamais.
Par Maël Le Touz, Threat Researcher chez Infoblox
