DHS mitiga a adulteração da infra-estrutura de DNS

No dia 22 de janeiro de 2019, o Departamento de Segurança Interna (DHS) Segurança Cibernética e da Agência de Segurança Infraestrutura (CISA), juntamente com parceiros governamentais e industriais, está rastreando uma série de incidentes envolvendo adulteração da infraestrutura de sistemas de nomes de domínio (DNS). A CISA está ciente de múltiplos ramos executivos e domínios agenciais que foram impactados pela adulteração e notificou as agencias que os mantém.

Utilizando as seguintes técnicas, atacantes tem redirecionado e interceptado trafego web e e-mail, sendo que poderiam utilizar da mesma para outros serviços de rede.

  1. O atacante começa comprometendo as credenciais do usuário, ou obtendo-as através de meios alternativos, de uma conta que consegue fazer modificações nos registros de DNS.
  2. Depois, o atacante altera o registro DNS (ex.: Registro de endereço (A), de troca de e-mails (MX), ou registro de nomes de servidores (NS)), trocando o endereço legítimo de um serviço por um endereço que o atacante tenha controle. Isso libera para eles o uso direto do tráfego para as próprias infraestruturas para manipulação ou inspeção antes de passar para o serviço legitimo, que eles escolherem. Isto cria um risco que persiste além do período de redirecionamento de tráfego.
  3. Como o atacante conseguir agora alterar valores de registos DNS, eles também podem obter certificados criptografados válidos para o nome de domínio de uma organização. Isso permite o redirecionamento do tráfego para ser decifrado, expondo quaisquer dados submetidos por usuários. Como o certificado é válido para o domínio, usuários finais não recebem avisos de erro.

Para endereçar os riscos significantes e iminentes para as agencias de informação e sistemas de informação apresentados por esta atividade, essa diretiva emergencial requer as seguintes ações de curto prazo para mitigar os riscos de adulterações não descobertas, permitir prevenção de atividades ilegítimas no DNS no domínio das agencias, e detectar certificados não autorizados.

Ações necessárias

Primeira ação: Auditar registros de DNS

  • Dentro de 10 dias úteis, para todos .gov ou outros domínios gerenciados por agência, devem ser auditados os registros de DNS públicos em todos os servidores DNS autoritários e secundários para verificar que eles estão resolvendo para o local pretendido. Se algum não for, reportar eles para o CISA.

Segunda ação: Mudar senhas das contas DNS

  • Dentro de 10 dias úteis, atualizar as senhas de todas as contas nos sistemas que consigam fazer mudanças para os registros DNS da sua agência.

Terceira ação: Adicionar autenticação de dois fatores nas contas DNS

  • Dentro de 10 dias úteis, implementar autenticação de dois fatores (MFA) para todas as contas nos sistemas que consigam fazer mudanças nos registros DNS de sua agência. Se não for possível realizar o MFA, prover os nomes dos sistemas para a CISA, uma vez que não conseguirão liberar dentro do tempo requerido, e quando

Quarta ação: Monitorar logs de certificado de transparência

  • Dentro de 10 dias úteis, CISA irá começar entregas regulares nos novos certificados adicionados nos registros de certificados de transparências (CT) para os domínios das agências, via serviço de higiene cibernética.
  • Após recibo, as agências devem imediatamente começar o monitoramento do registro CT para certificar dos problemas que não foram pedidos. Se alguma agência confirmar que um certificado não foi autorizado, ela deve reportar o certificado para a autoridade emissora do certificado e para o CISA.

Ações da CISA

  • CISA proverá assistência técnica para as agências que reportarem registros de DNS anômalos.
  • CISA revisará submissões para as agencias que não conseguem implementar MFA nas contas DNS dentro do prazo estipulado e contatar agencias, quando necessário.
  • CISA proverá entregas regulares em novos certificados adicionados nos registros CT para domínios de agência via serviço de higiene cibernética.
  • CISA proverá orientação adicional para as agencias pela coordenação de Diretivas Emergenciais ligando seguindo as insinuações desta diretiva, assim como através de compromissos sob requisições.

Para mais detalhes, clique aqui.