kreizihorse - Fotolia

DNS : une campagne de détournement rappelle l’impératif de sécurité des comptes d’administration

Les chercheurs de FireEye alertent sur une vaste campagne de détournement d’enregistrements DNS. Mais au-delà du sensationnel, les différents points de départ de la menace s’avèrent relativement classiques.

L’alerte lancée par FireEye a de quoi impressionner : ses chercheurs ont enquêté sur une vaste opération de « manipulation d’enregistrements DNS, à une échelle quasiment sans précédent ». Dans un billet de blog, ils expliquent qu’ont été visées des organisations gouvernementales, ainsi que des opérateurs télécoms et de services en ligne au Moyen-Orient, en Afrique du Nord, en Europe et en Amérique du Nord. Le tout serait lié à l’Iran et durerait depuis des mois. Certaines techniques ont déjà été documentées par l’équipe Talos de Cisco.

La manipulation d’enregistrements DNS n’a rien d’anodin : elle permet de rediriger l’internaute vers des sites – finaux ou intermédiaires – frauduleux afin de capter des données potentiellement sensibles, à commencer par des identifiants. Et cela sans éveiller ses soupçons, en donnant au site frauduleux une apparente légitimité par le truchement de certificats numériques ad hoc. En l’occurrence, des certificats gratuits générés par Let’s Encrypt.

Sur le fond, la campagne observée a de quoi préoccuper. Mais les vecteurs d’attaque initiaux ont également, sinon plus, de quoi alarmer. Ainsi, la première technique observée consiste à modifier le champ A des enregistrements DNS : de quoi renvoyer une adresse canonique vers une adresse IP illégitime. Mais voilà, pour ce faire, « l’attaquant accède au panneau d’administration du fournisseur de service DNS, en utilisant des identifiants préalablement compromis ».

C’est donc de la protection des identifiants de comptes administratifs qu’il est essentiellement question – avec notamment l’utilisation pour ceux-ci de l’authentification à facteurs multiples. Et cela vaut aussi pour la seconde technique employée par les malandrins, quoiqu’à un niveau plus élevé : cette fois-ci, ils mettent à profit un « registrar ou un ccTLD précédemment compromis ».

La troisième technique pose la question de la supervision de l’infrastructure interne. Car là, c’est un équipement déployé en local qui est chargé de répondre aux requêtes DNS en lieu et place des serveurs internes dédiés à cette tâche, comme les routeurs dans les petits environnements.

Dans leur billet de blog, les équipes de FireEye ne disent pas autre chose et encouragent à déployer l’authentification à facteurs multiples sur les portails d’administration de noms de domaine. Elles appellent aussi à surveiller et valider les altérations de champs A et NS des enregistrements DNS, mais également à faire la chasse aux certificats SSL associés à ses domaines. Les chercheurs de l’équipementier suggèrent également de valider les adresses IP sources dans les journaux d’activité OXA/Exchange.

Kris Beevers, co-fondateur et Pdg de NS1, un fournisseur de services DNS managés, va plus loin, suggérant l’activation de DNSSEC (protocole de sécurisation du DNS) et la signature de zones : « DNSSEC fonctionne en offrant un mécanisme permettant aux systèmes de résolution DNS récursive de vérifier l’authenticité de l’information reçue du précédent serveur DNS d’autorité dans la chaîne de recherches nécessaires à la réponse à une requête ».

Avec nos confrères de Searchsecurity.com (groupe TechTarget)

Pour approfondir sur Sécurité du Cloud, SASE