Wees alert op manipulatie van DNS-instellingen

Kwaadwillenden hebben in diverse landen manipulatie van DNS-instellingen uitgevoerd, zogenoemde DNS-hijacking. Als een kwaadwillende DNS-instellingen van uw organisatie kan wijzigen, kan deze inkomend netwerkverkeer van uw organisatie tijdelijk omleiden en inzien. Het NCSC adviseert om u te beschermen tegen ongeautoriseerde wijzigingen van uw DNS-instellingen volgens de checklist in dit bericht.

FireEye en US-CERT hebben op 10 januari van dit jaar gepubliceerd over kwaadwillenden die in diverse landen DNS-instellingen van organisaties tijdelijk hebben gewijzigd. Talos berichtte eerder over aanvallen waarbij vergelijkbare methoden gebruikt werden.

Gevolgen van DNS-hijacking voor uw organisatie

Als een kwaadwillende DNS-instellingen van uw organisatie kan wijzigen, kan hij inkomend netwerkverkeer van uw organisatie tijdelijk omleiden. De kwaadwillende kan het omgeleide verkeer inzien en manipuleren. Het omgeleide verkeer kan bijvoorbeeld e-mails, inloggegevens en gebruikersinvoer op webapplicaties bevatten. Daarnaast kan de kwaadwillende vertrouwde certificaten voor uw domeinnamen aanvragen. Als de kwaadwillende een dergelijk certificaat gebruikt bij het onderscheppen van het netwerkverkeer, kan deze gebruikte versleuteling zoals https ongedaan maken.

Checklist voor bescherming

Het NCSC adviseert u te monitoren op ongeautoriseerde wijziging van uw DNS-instellingen en preventieve maatregelen te treffen.

  1. Controleer regelmatig of uw domeinnamen inderdaad naar de IP-adressen van uw infrastructuur verwijzen.
  2. Controleer regelmatig Certificate Transparency-logs om na te gaan of er certificaten uitgegeven zijn voor uw domeinnamen die u niet heeft aangevraagd. Dit kunt u bijvoorbeeld doen op https://crt.sh/.
  3. Maak gebruik van tweefactorauthenticatie op accounts bij DNS-beheerders, domeinregistrars en andere systemen die gebruikt worden voor het beheren van DNS-instellingen.
  4. Wijzig inloggegevens waarvan u vermoedt dat deze gecompromitteerd zijn.

Deze maatregelen zijn gebaseerd op het advies van het Amerikaanse Department of Homeland Security (DHS).

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig