Subdomain takeover
Le subdomain takeover consiste à revendiquer un service cloud désaffecté vers lequel pointe encore un DNS, pour publier du contenu sous le domaine de la victime.
Le subdomain takeover, ou prise de contrôle de sous-domaine, exploite un décalage banal entre le DNS et la réalité. Une entreprise crée un enregistrement CNAME, disons blog.exemple.fr, vers un service hébergé, GitHub Pages, Azure, un CDN ; le service est un jour résilié, mais l’enregistrement DNS, lui, reste en place. N’importe qui peut alors revendiquer la ressource abandonnée chez l’hébergeur et servir son propre contenu sous blog.exemple.fr, avec la légitimité du domaine de la victime.
Les conséquences dépassent la défiguration. Le contenu hostile hérite de la confiance du domaine : hameçonnage crédible au possible, vol de cookies si leur portée couvre les sous-domaines, contournement de politiques de sécurité fondées sur l’origine. Et la vulnérabilité est activement recherchée, car sa détection s’automatise très bien : les enregistrements DNS pendants se repèrent à grande échelle.
La défense tient en une discipline : inventorier ses enregistrements DNS et supprimer ceux qui pointent vers des services fermés, dès la résiliation. Notre article sur le subdomain takeover détaille les signatures par hébergeur, et la surveillance de la surface d’attaque détecte ces enregistrements pendants avant qu’un attaquant ne les réclame.