Tras los informes recientes sobre ataques a gran escala destinados a modificar los registros del Sistema de Nombres de Dominio, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido publicó un aviso con opciones de mitigación para que las organizaciones se defendieran contra este tipo de amenaza.

El Sistema de nombres de dominio (DNS) es el servicio responsable de dirigir el navegador web a la dirección IP correcta cuando navegamos a un dominio web.

Secuestro de DNS: al modificar la configuración de DNS con fines maliciosos, se abre el camino a una gran cantidad de posibilidades sombrías. Desde la perspectiva de un usuario, el principal de ellos es el phishing y la intercepción de tráfico, mientras que las organizaciones pueden sufrir un golpe mucho más duro que podría traducirse en la pérdida de control sobre un dominio.

Miles de victimas

Ha habido varios informes de ataques de secuestro de DNS dirigidos a los consumidores para obtener recompensas financieras, o varias organizaciones para el espionaje cibernético.

Un informe  esta semana con datos de telemetría de Avast revela que entre febrero y junio, al menos 180,000 usuarios en Brasil tuvieron sus enrutadores comprometidos y la configuración de DNS modificada.

Y a fines de marzo, el antivirus había bloqueado más de 4.6 millones de intentos de falsificación de solicitud entre sitios (CSRF, por sus siglas en inglés) que habrían cambiado la configuración del DNS en los enrutadores.

Los investigadores de Ixia también han estado rastreando campañas de secuestro de DNS dirigidas a enrutadores de nivel de consumidor. Notaron una ola a principios de abril que tenía como objetivo redirigir a las víctimas a páginas falsas para servicios como Gmail, PayPal, Uber y Netflix, entre otros, de instituciones financieras y proveedores de alojamiento web.

La semana pasada, Cisco Talos publicó un análisis sobre la actividad renovada de Sea Turtle , un actor de amenazas que utiliza el secuestro de DNS para fines de ciberespionaje; El resultado final fue redirigir a las víctimas a servidores controlados por atacantes.

En una campaña que duró al menos dos años , Sea Turtle se enfocó en organizaciones principalmente en Medio Oriente y África del Norte al comprometer a las entidades de terceros (empresas de telecomunicaciones, ISP, empresas de TI, registradores de dominio) responsables de los servicios de DNS utilizados por sus víctimas.

Combatiendo el riesgo de secuestro de DNS

El NCSC del Reino Unido publicó un documento el viernes que describe los riesgos que conllevan los intentos de secuestro de DNS y ofrece a las organizaciones consejos para protegerse de este tipo de peligro.

Las cuentas de registro en los servicios de registro de dominios son objetivos de alto valor que se pueden controlar mediante técnicas comunes como el relleno de credenciales, el phishing u otras formas de ingeniería social.

Como tal, el NCSC recomienda protección contra el phishing, utilizando contraseñas seguras únicas y habilitando la autenticación multifactor cuando la opción esté disponible.

La verificación periódica de los detalles vinculados a la cuenta y la garantía de que están actualizados y apuntan a la organización en lugar de a una persona, son buenas maneras de evitar intentos de toma de control (ATO) exitosos.

Al restringir el acceso a la cuenta solo a las personas de la empresa encargadas de realizar cambios, se reduce el riesgo de que un intruso tome el control de la cuenta.

La protección adicional proviene del servicio de «bloqueo de registrador», disponible con muchos servicios de registro de nombres de dominio. Requiere autenticación adicional antes de modificar los detalles de contacto y los servidores de nombres, o para autorizar una transferencia de dominio.

Para las organizaciones que ejecutan su propia infraestructura de DNS, el NCSC recomienda implementar sistemas de control de acceso y cambio que puedan proporcionar una función de copia de seguridad y restauración para los registros de DNS y imponer un acceso estricto a las máquinas que administran los servicios de DNS.

La supervisión de SSL y la implementación de las especificaciones de las Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) también se encuentran en la lista de recomendaciones de NCSC.

Si bien la supervisión SSL ayuda a controlar los certificados SSL para los nombres de dominio de una empresa, DNSSEC se asegura de que los registros DNS en el servidor vengan con firmas criptográficas.

Sin embargo, tales mitigaciones no se aplican a los consumidores, que tienen un conjunto de opciones mucho más pequeño. Mantener sus dispositivos actualizados con el último firmware, verificar que los sitios web tienen certificados válidos y verificar la configuración del DNS son buenas maneras de reducir el riesgo de ser víctima de un secuestro de DNS.

Algunas soluciones de seguridad de nivel de red destinadas al uso del consumidor también pueden bloquear los intentos de explotación que podrían llevar a una modificación no autorizada de la configuración del DNS y otros tipos de actividad maliciosa.

Fuente: bleepingcomputer.com

Compartir