Conferenza RSA 2019: Grand Theft DNS

2 Apr 2019

Alla conferenza RSA di quest’anno, il SANS Institute ha riferito diversi nuovi tipi di attacchi, da considerare estremamente pericolosi. In questo post parleremo di uno in particolare.

Ed Skoudis, docente del SANS ha descritto un attacco che in teoria potrebbe essere utilizzato per prendere il controllo totale dell’infrastruttura IT di un’azienda. Non sono necessari strumenti complessi, solo manipolare il DNS, il che è relativamente semplice.

Come si può manipolare l’infrastruttura DNS aziendale?

L’attacco si svolge in questo modo:

  1. I cybercriminali vanno a caccia (con ogni mezzo) dell’accoppiata username/password di account già compromessi. Ce ne sono di tantissimi: parliamo di centinaia di milioni, se non miliardi e in database conosciuti solamente;
  1. Utilizzano queste credenziali per collegarsi ai servizi dei provider DNS e ai registri di dominio;
  1. In seguito, i cybercriminali modificano i record DNS, sostituendo l’infrastruttura aziendale di dominio con la propria;
  1. In particolare, modificano il record MX e intercettano i messaggi, reindirizzando tutte le e-mail aziendali sul loro server;
  2. I cybercriminali registrano i certificati TLS dei domini rubati. In questa fase, possono già intercettare e-mail aziendali e fornire una prova di essere proprietari del dominio; nella maggior parte dei casi, è tutto ciò di cui si ha bisogno per l’emissione di un certificato.

Dopo tutto ciò, i cybercriminali possono reindirizzare sui propri dispositivi il traffico diretto ai server dell’azienda colpita. Come risultato, chi visita il sito della compagnia viene diretto a risorse false che sembrano autentiche agli occhi di tutti i filtri e i sistemi di protezione. Abbiamo identificato questa situazione per la prima volta nel 2016, quando i ricercatori della nostra divisione brasiliana del GReAT hanno scoperto un attacco che consentiva ai cybercriminali di hackerare l’infrastruttura di una grande banca.

L’aspetto particolarmente pericoloso di questo attacco è che l’azienda vittima perde il contatto con il mondo esterno. Vengono hackerate le e-mail e di solito anche i telefoni (la maggior parte delle aziende utilizzando telefoni IP). In questo modo, diventa complicato adottare misure interne in seguito all’incidente e anche comunicare con l’esterno per risolvere il problema (mettersi in contatto con provider DNS, autorità per le certificazioni, forze dell’ordine specializzate etc). Immaginate se poi tutto questo succede durante il weekend, come nel caso della banca brasiliana!

Come evitare l’hackeraggio dell’infrastruttura IT attraverso la manipolazione del DNS

Il caso del 2016 ha costituito una novità nel mondo del cybercrimine e, due anni dopo, si è trasformata in una pratica comune. Nel 2018, i guru della sicurezza IT di molte aziende leader ne hanno registrato l’uso. Non è quindi un piano campato in aria, ma un attacco concreto che può essere utilizzato per prendere il controllo della vostra infrastruttura IT.

Per Ed Skoudis ecco cosa si dovrebbe fare per difendersi dai tentativi di manipolazione dell’infrastruttura dei nomi di dominio:

  • Utilizzate l’autenticazione multi-fattore per i tool di gestione dell’infrastruttura IT;
  • Utilizzate le DNSSEC (Domain Name System Security Extensions), assicurandovi che siano applicate non solo alla firma ma anche alla convalida del DNS;
  • Tenete un registro di tutte le modifiche al DNS che possano riguardare i nomi di dominio della vostra azienda; per tale scopo, un’opzione è SecurityTrails, che permette fino a 50 richieste gratuite al mese;
  • Identificate i certificati residuali che duplicano i vostri domini e che inviano richieste per revocarli immediatamente. Per maggiori dettagli, vi consigliamo di leggere il post “Attacchi DoS e MitM ai domini mediante certificati ancora attivi del nostro blog.

Per quanto ci riguarda, solo possiamo darvi un consiglio in più: che le vostre password siano sicure. Sapete già come dovrebbero essere: uniche, complesse e capaci di superare un attacco a dizionario. Per creare password robuste e custodirle adeguatamente, potete avvalervi del nostro Kaspersky Password Manager, che fa parte della nostra soluzione per aziende Kaspersky Small Office Security.