Comment détecter les attaques DNS ? Les directives du DHS & du CERT-FR

DNS

Le 22 janvier 2019, le Département américain de la sécurité intérieure (DHS) a publié une directive d’urgence 19-01 pour une attaque de détournement d’infrastructure DNS contre des agences gouvernementales américaines.

D’autre part, le 25 février 2019, le CERT-FR (Computer Emergency Response Team) a aussi émis un bulletin d’actualité sous la référence CERTFR-2019-ACT-003 faisant suite à la communication de l’autorité de régulation d’Internet (ICANN) qui souligne les risques l’utilisation du protocole à des fins malveillantes.

De ce fait, examinons les particularités de l’avertissement du DHS et du CERT-FR et voyons comment vous pouvez mieux protéger et surveiller vos services DNS.

Qu’est-ce qu’une attaque de détournement d’infrastructure DNS ?

Les différentes directives qualifient cette attaque de détournement d’infrastructure DNS.

Le DHS dit que les attaquants ont volé des informations d’identification d’utilisateur suffisamment pertinentes pour modifier les enregistrements DNS, puis les ont utilisées pour manipuler les enregistrements DNS pour les serveurs clés.

Le résultat ? Une fois que les attaquants ont eu le contrôle du DNS, ils ont redirigé le trafic des utilisateurs pour pouvoir l’intercepter et l’enregistrer en tout ou en partie, agissant comme un “man in the middle”. En interceptant le trafic des utilisateurs, les pirates peuvent intercepter des informations, comme des paires de noms d’utilisateur et de mots de passe.

Par exemple, lorsque les victimes envoient un courriel (à leur serveur de courriel sécurisé pour traitement), elles se connecteront d’abord au serveur de l’attaquant. Du point de vue de la victime, il semble que tout va bien parce qu’elle envoie et reçoit des courriels comme d’habitude. Les choses ne vont pas bien, cependant, parce que les attaquants peuvent écouter, même lorsque la connexion semble cryptée (voir plus loin).

Il est important de noter que la manipulation des enregistrements DNS pour pirater les connexions n’est pas nouvelle et qu’il n’est même pas nécessaire d’avoir un compte administrateur compromis pour le faire.

C’est parce que le DNS est un très vieux protocole, avec de nombreuses vulnérabilités (pour en savoir plus sur le DNS et son fonctionnement, consultez cette introduction). Non seulement les attaquants peuvent exploiter le DNS pour détourner des connexions, mais ils peuvent aussi l’utiliser pour la reconnaissance, comme canal de commandement et de contrôle (C&C) et pour exfiltrer secrètement des données.

Cette attaque est plus inquiétante que certaines autres attaques de détournement de DNS pour deux raisons :

  1. Les attaquants semblent avoir compromis des enregistrements faisant autorité (au lieu de simplement mettre en cache des enregistrements) sur les serveurs DNS ” en amont ” des serveurs DNS locaux de la victime. Cela signifie que même si les serveurs DNS locaux d’une victime ne sont pas compromis, ils peuvent toujours être vulnérables. Par exemple, si un attaquant modifiait l’enregistrement faisant autorité de www.google.com pour le router vers son propre serveur, nous irions tous faire un tour de manège intéressant, même si rien ne changeait en apparence sur nos ordinateurs ou nos serveurs DNS locaux.
  2. Les attaquants ont utilisé leur pouvoir sur les enregistrements DNS faisant autorité pour créer de faux certificats qui semblent valides pour les utilisateurs finaux. Cela signifie que l’ordinateur de la victime négocie une connexion cryptée avec les serveurs de l’attaquant, et que les serveurs de l’attaquant décryptent et ré-encryptent le trafic, le relayant ou le “proxyfiant” vers le serveur destinataire. Si les victimes utilisent le webmail, cette configuration peut même donner aux victimes le symbole de verrouillage réconfortant dans leur navigateur :

symbole de verrouillage - DNS

Que dois-je faire maintenant ?

Selon la directive d’urgence 19-01, les organismes gouvernementaux doivent :

  • Vérifier tous les enregistrements DNS publics
  • Modifier tous les mots de passe qui peuvent accéder aux enregistrements DNS
  • Mettre en œuvre l’authentification multi facteurs pour tous les comptes qui ont le droit de modifier les enregistrements DNS
  • Surveiller les journaux de transparence des certificats pour les nouveaux certificats que votre agence n’a pas demandés.

La portée de ces mesures de remédiation dépend de plusieurs facteurs :

  1. Combien d’enregistrements DNS publics ont besoin d’être audités ?
  2. Combien de comptes peuvent changer les enregistrements DNS ?
  3. Combien de ces comptes ont déjà une authentification multi facteurs ?

La vérification de l’exactitude de chaque enregistrement DNS représente beaucoup de travail pour les organisations qui ont beaucoup d’enregistrements. Il est préférable de prendre des mesures pour prévenir d’autres atteintes et s’assurer que les choses restent en place.

Comment réduire le risque d’altération des DNS sur vos serveurs DNS ?

  • Restreindre l’accès administrateur aux serveurs DNS (sous Windows par exemple, surveiller les modifications et revoir les membres du groupe DNSadmin, et d’autres groupes administrateurs)
  • Utilisez des enregistrements DNS statiques ou des réservations DHCP pour les enregistrements clés et surveillez les modifications apportées à ces enregistrements.
  • Surveiller les serveurs DNS à la recherche de signes d’empoisonnement de cache, de reconnaissance, de commandement et de contrôle ou d’exfiltration de données.
  • Si vous utilisez un environnement Windows, identifiez, corrigez et surveillez les autres vulnérabilités d’Active Directory.

Comment vous protéger contre les enregistrements DNS compromis sur des serveurs qui ne sont pas les vôtres :

  • Appliquer l’authentification multi facteurs pour les services externes dans la mesure du possible.
  • Surveiller les requêtes DNS et autres périphériques (par ex. les serveurs mandataires Web) pour les tentatives de connexion à des sites dont la réputation est mauvaise.

De quelle façon Varonis peut aider ?

Varonis commence par contrôler les bons ingrédients :

  1. Tout d’abord, les données – qui peut y accéder, qui y accède, et ce qui est important – sur site (on-premise), et dans le cloud…
  2. Deuxièmement, Active Directory – qui utilise quels appareils, avec quels comptes, et comment.
  3. Troisièmement, les dispositifs DNS et Edge comme les proxy web et les concentrateurs VPN – qui entre, et qui et quoi sort, et quelles destinations ne sont pas dignes de confiance.

Ensuite, Varonis combine les ingrédients et construit le contexte.
Quels types de comptes existe-t-il et à qui appartiennent-ils, qui utilise quels appareils et quelles données, quand sont-ils actifs et d’où viennent-ils ?
Varonis construit automatiquement un comportement de base, ou “profils de temps de paix”, sur des heures, des jours et des semaines pour chaque utilisateur et appareil, de sorte que lorsqu’ils se comportent étrangement, ils se font remarquer.

Les clients Varonis identifient et analysent rapidement des choses comme :

Vous voulez en savoir plus ? Demandez complétement gratuitement une démo avec un de nos ingénieurs pour voir comment Varonis peut détecter les attaques DNS – et prévenir les fuites de données.

 

 

– Cette note de Blog a été réalisée avec l’aimable aide de Jérôme Soyer – Directeur Ingénieurs d’affaires pour l’Europe de l’ouest chez Varonis – afin de l’adapter au public français.