DHS выпускает экстренную директиву об атаках с перехватом DNS

На веб-сайте Министерства внутренней безопасности США появился пост под названием «Чрезвычайная директива 19-01», в котором сообщалось о наплыве захватчиков DNS и описывались контрмеры, которые федеральные агентства должны принять против них. Согласно директиве о чрезвычайных ситуациях, которая опирается на 44 USC § 3553(h)(1)–(2), чтобы сформулировать правовую основу для действий против угрозы, DHS обнаружил «серию инцидентов», которые указывают на инфраструктуру DNS. подделка.

Сообщение DHS дает следующую информацию в качестве доказательства угрозы:

Используя следующие методы, злоумышленники перенаправляли и перехватывали веб-трафик и почтовый трафик, а также могли делать это для других сетевых служб.

1. Злоумышленник начинает с компрометации учетных данных пользователя или получения их с помощью альтернативных средств учетной записи, которая может вносить изменения в записи DNS.
2. Затем злоумышленник изменяет записи DNS, такие как записи адреса (A), почтового обменника (MX) или сервера имен (NS), заменяя законный адрес службы адресом, контролируемым злоумышленником. Это позволяет им направлять пользовательский трафик в свою собственную инфраструктуру для манипулирования или проверки, прежде чем передать его законной службе, если они захотят. Это создает риск, который сохраняется после периода перенаправления трафика.
3. Поскольку злоумышленник может устанавливать значения записей DNS, он также может получить действительные сертификаты шифрования для доменных имен организации. Это позволяет расшифровывать перенаправленный трафик, раскрывая любые данные, отправленные пользователем. Поскольку сертификат действителен для домена, конечные пользователи не получают предупреждений об ошибках.

Чрезвычайная директива заставляет все федеральные агентства выполнять любые и все необходимые действия, которые DHS считает необходимыми для смягчения угрозы захвата DNS.

Действия, подлежащие принудительному исполнению, включают следующее (все они должны быть выполнены в течение 10 дней, в противном случае существует риск, что об этом будет сообщено в CISA):

• Все домены.gov или другие домены, управляемые агентством, должны проверять свои общедоступные записи DNS.

• Любая учетная запись, которая может изменять записи DNS, должна изменить свои пароли.

• Учетные записи с возможностью изменения записей DNS должны устанавливать многофакторную аутентификацию.

• Федеральные агентства обязаны отслеживать «данные журнала CT для выданных сертификатов, которые они не запрашивали» и сообщать о любых несанкционированных сертификатах в CISA.

Согласно сообщению, чрезвычайная директива DHS будет оставаться в силе на неопределенный срок до тех пор, пока «не будет заменена последующей обязательной оперативной директивой или не будет прекращена посредством других соответствующих действий». Что меня раздражает как специалиста по кибербезопасности, так это то, что правительство США еще не практиковало лучшую безопасность в отношении своих учетных записей DNS. Это всегда кажется крупным инцидентом, который вызывает изменения, когда речь идет о правительственной практике информационной безопасности, оставляя бесчисленные векторы атак открытыми для проникновения хакеров.

Я бы сказал, что это, надеюсь, заставит правительство переосмыслить свою политику в отношении информационной безопасности, но я не буду затаить дыхание.