Notícias

Alerta de NCSC emite sobre ataques de sequestro de DNS ativo

Na sequência de relatórios recentes sobre ataques em larga escala destinados a modificar os registros do Sistema de Nomes de Domínio, o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido divulgou um comunicado com opções de mitigação para as organizações se defenderem contra esse tipo de ameaça.

O Sistema de Nomes de Domínio (DNS) é o serviço responsável por apontar o navegador da web para o endereço IP correto quando navegamos para um domínio da web.

Sequestro de DNS – alterando as configurações de DNS para fins maliciosos, abre o caminho para uma série de possibilidades sombrias. Do ponto de vista do usuário, os principais entre eles são phishing e interceptação de tráfego, enquanto as organizações podem sofrer um golpe muito mais difícil que pode se traduzir em perder o controle sobre um domínio.

Milhares de vítimas

Houve vários relatos de ataques de seqüestro de DNS direcionados a consumidores por recompensas financeiras, ou várias organizações por espionagem cibernética.

Um relatório  desta semana com dados de telemetria da Avast revela que entre fevereiro e junho pelo menos 180.000 usuários no Brasil tiveram seus roteadores comprometidos e as configurações de DNS alteradas.

E até o final de março, o antivírus havia bloqueado mais de 4,6 milhões de tentativas de falsificação de solicitações entre sites (CSRF) que teriam alterado as configurações de DNS nos roteadores.

Pesquisadores da Ixia também estão acompanhando campanhas de seqüestro de DNS direcionadas a roteadores de nível de consumidor. Eles perceberam uma onda no início de abril que visava redirecionar as vítimas a páginas falsas para serviços como Gmail, PayPal, Uber e Netflix, entre outras instituições financeiras e provedores de hospedagem na web.

Na semana passada, a Cisco Talos publicou uma análise sobre a atividade renovada da Sea Turtle , uma ameaça que usa o seqüestro do DNS para fins de espionagem digital; o resultado final foi redirecionar as vítimas para servidores controlados por invasores.

Em uma campanha que durou pelo menos dois anos , a Sea Turtle teve como alvo organizações principalmente no Oriente Médio e Norte da África, comprometendo entidades terceirizadas (empresas de telecomunicações, ISPs, empresas de TI, registradores de domínio) responsáveis ​​pelos serviços DNS usados ​​por suas vítimas.

Lutando contra o risco de seqüestro de DNS

O NCSC do Reino Unido publicou um documento na sexta-feira descrevendo os riscos que vêm com as tentativas de sequestro do DNS e oferecendo conselhos às organizações para se protegerem desse tipo de perigo.

As contas de registrantes nos serviços de registradores de domínios são alvos de alto valor que podem ser assumidos por meio de técnicas comuns, como preenchimento de credenciais, phishing ou outras formas de engenharia social.

Como tal, o NCSC recomenda proteção contra phishing, usando senhas únicas e fortes, e habilitando a autenticação de múltiplos fatores quando a opção estiver disponível.

Verificar regularmente os detalhes vinculados à conta e garantir que eles estão atualizados e apontam para a organização, e não para um indivíduo, são boas maneiras de impedir tentativas de êxito na conta (ATO).

Restringir o acesso à conta apenas às pessoas da empresa encarregadas de fazer alterações reduz o risco de um intruso assumir o controle da conta.

A proteção extra vem do serviço de “bloqueio de registro”, disponível com muitos serviços de registro de nomes de domínio. Requer autenticação adicional antes de modificar os detalhes de contato e servidores de nomes, ou para autorizar uma transferência de domínio.

Para organizações que executam sua própria infraestrutura de DNS, o NCSC recomenda a implementação de sistemas de acesso e controle de alterações que possam fornecer backup e restaurar a função de registros DNS e impor acesso restrito às máquinas que gerenciam serviços DNS.

O monitoramento de SSL e a implementação das especificações das Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) também estão na lista de recomendações do NCSC.

Embora o monitoramento de SSL ajude a manter os certificados SSL dos nomes de domínio de uma empresa, o DNSSEC garante que os registros DNS no servidor sejam fornecidos com assinaturas criptográficas.

Tais atenuações não se aplicam aos consumidores, porém, que têm um conjunto muito menor de opções. Manter seus dispositivos atualizados com o firmware mais recente, verificar se os sites têm certificados válidos e verificar as configurações de DNS são boas maneiras de reduzir o risco de ser vítima de invasão de DNS.

Algumas soluções de segurança em nível de rede destinadas ao uso do consumidor também podem bloquear tentativas de exploração que podem levar a modificação não autorizada de configurações de DNS e outros tipos de atividade maliciosa.

Fonte


Mais Lidas

To Top