DNS/Alert/emargency-directive-19-01について、ここに記述してください。
1. The attacker begins by compromising user credentials, or obtaining them through alternate means, of an account that can make changes to DNS records. 2. Next, the attacker alters DNS records, like Address (A), Mail Exchanger (MX), or Name Server (NS) records, replacing the legitimate address of a service with an address the attacker controls. This enables them to direct user traffic to their own infrastructure for manipulation or inspection before passing it on to the legitimate service, should they choose. This creates a risk that persists beyond the period of traffic redirection. 3. Because the attacker can set DNS record values, they can also obtain valid encryption certificates for an organization’s domain names. This allows the redirected traffic to be decrypted, exposing any user-submitted data. Since the certificate is valid for the domain, end users receive no error warnings.
1. DNSレコードを変更権限をもつアカウントに侵入したり、認証情報を盗むところから始める。
2. A,MX,NS等のDNSレコードを本来のものから変更して、攻撃者が管理するアドレスに向ける。
- これで攻撃者は通信を覗いたり、書き換えたりできる。単にリダイレクトされる以上に危険です。
3. DNSレコードを自由にできるため、組織のドメイン名の有効な証明書を入手できます。
- リダイレクトされた通信を復号化できるので、送信されたユーザデータを解読できます。 この証明書はドメインの有効な証明書ですから、エンドユーザーは警告を受信しません。