ProHoster > Die Domain corp.com steht zum Verkauf. Es ist gefährlich für Hunderttausende Unternehmenscomputer, auf denen Windows ausgeführt wird

Die Domain corp.com steht zum Verkauf. Es ist gefährlich für Hunderttausende Unternehmenscomputer, auf denen Windows ausgeführt wird

Die Domain corp.com steht zum Verkauf. Es ist gefährlich für Hunderttausende Unternehmenscomputer, auf denen Windows ausgeführt wird
Schema des Datenlecks durch Web Proxy Auto-Discovery (WPAD) aufgrund einer Namenskollision (in diesem Fall eine Kollision einer internen Domäne mit dem Namen einer der neuen gTLDs, aber das Wesentliche ist dasselbe). Quelle: Studie der University of Michigan, 2016

Mike O'Connor, einer der ältesten Investoren in Domainnamen, zum Verkauf anbietet das gefährlichste und umstrittenste Los in seiner Sammlung: Domain corp.com für 1,7 Millionen US-Dollar. Im Jahr 1994 kaufte O'Connor viele einfache Domainnamen wie grill.com, place.com, pub.com und andere. Unter ihnen war corp.com, das Mike 26 Jahre lang führte. Der Investor war bereits 70 Jahre alt und beschloss, seine alten Investitionen zu monetarisieren.

Das Problem besteht darin, dass corp.com für mindestens 375 Unternehmenscomputer potenziell gefährlich ist, da Active Directory beim Aufbau von Unternehmensintranets in den frühen 000er Jahren auf Basis von Windows Server 2000 nachlässig konfiguriert wurde und das interne Stammverzeichnis einfach als „corp“ angegeben wurde .“ Bis Anfang der 2010er Jahre war dies kein Problem, doch mit der Verbreitung von Laptops in Geschäftsumgebungen begannen immer mehr Mitarbeiter, ihre Arbeitscomputer außerhalb des Unternehmensnetzwerks zu verlegen. Merkmale der Active Directory-Implementierung führen dazu, dass auch ohne direkte Benutzeranfrage an //corp eine Reihe von Anwendungen (z. B. E-Mail) selbstständig an eine bekannte Adresse klopfen. Bei einem externen Anschluss an das Netzwerk in einem herkömmlichen Café um die Ecke führt dies jedoch zu einem Strom von Daten und Anfragen corp.com.

Nun hofft O'Connor wirklich, dass Microsoft selbst die Domain kauft und sie in bester Google-Tradition an einem dunklen und für Außenstehende unzugänglichen Ort verrottet, damit das Problem mit einer so grundlegenden Schwachstelle von Windows-Netzwerken gelöst wird.

Active Directory- und Namenskollision

Unternehmensnetzwerke unter Windows nutzen den Active Directory-Verzeichnisdienst. Es ermöglicht Administratoren, Gruppenrichtlinien zu verwenden, um eine einheitliche Konfiguration der Arbeitsumgebung des Benutzers sicherzustellen, Software über Gruppenrichtlinien auf mehreren Computern bereitzustellen, Autorisierungen durchzuführen usw.

Active Directory ist in DNS integriert und läuft auf TCP/IP. Um nach Hosts innerhalb des Netzwerks zu suchen, verwenden Sie das Web Proxy Auto-Discovery (WAPD)-Protokoll und die Funktion DNS-Namensänderung (integriert in den Windows-DNS-Client). Diese Funktion erleichtert das Auffinden anderer Computer oder Server, ohne dass ein vollständig qualifizierter Domänenname angegeben werden muss.

Wenn beispielsweise ein Unternehmen ein internes Netzwerk mit dem Namen betreibt internalnetwork.example.com, und der Mitarbeiter möchte auf ein freigegebenes Laufwerk mit dem Namen zugreifen drive1, keine Eingabe erforderlich drive1.internalnetwork.example.com Geben Sie im Explorer einfach \drive1 ein – und der Windows-DNS-Client vervollständigt den Namen selbst.

In früheren Versionen von Active Directory – zum Beispiel Windows 2000 Server – war die Standardeinstellung für die Unternehmensdomäne der zweiten Ebene corp. Und viele Unternehmen haben die Standardeinstellung für ihre interne Domäne beibehalten. Schlimmer noch, viele haben begonnen, auf dieser fehlerhaften Struktur riesige Netzwerke aufzubauen.

Zu Zeiten der Desktop-Computer stellte dies kein großes Sicherheitsproblem dar, da niemand diese Computer außerhalb des Unternehmensnetzwerks mitnahm. Aber was passiert, wenn ein Mitarbeiter in einem Unternehmen mit einem Netzwerkpfad arbeitet? corp in Active Directory nimmt einen Firmenlaptop und geht zum örtlichen Starbucks? Dann treten das Web Proxy Auto-Discovery (WPAD)-Protokoll und die DNS-Namensdevolutionsfunktion in Kraft.

Die Domain corp.com steht zum Verkauf. Es ist gefährlich für Hunderttausende Unternehmenscomputer, auf denen Windows ausgeführt wird

Es besteht eine hohe Wahrscheinlichkeit, dass einige Dienste auf dem Laptop weiterhin auf die interne Domäne zugreifen corp, findet es aber nicht und stattdessen werden Anfragen aus dem offenen Internet an die Domäne corp.com aufgelöst.

In der Praxis bedeutet dies, dass der Besitzer von corp.com passiv private Anfragen von Hunderttausenden Computern abfangen kann, die unter der Bezeichnung versehentlich die Unternehmensumgebung verlassen corp für Ihre Domäne im Active Directory.

Die Domain corp.com steht zum Verkauf. Es ist gefährlich für Hunderttausende Unternehmenscomputer, auf denen Windows ausgeführt wird
Durchsickern von WPAD-Anfragen im amerikanischen Verkehr. Aus einer Studie der University of Michigan aus dem Jahr 2016 geht hervor, Quelle

Warum ist die Domain noch nicht verkauft?

Im Jahr 2014 veröffentlichten ICANN-Experten tolles Studium Namenskollisionen im DNS. Die Studie wurde zum Teil vom US-Heimatschutzministerium finanziert, da Informationslecks aus internen Netzwerken nicht nur kommerzielle Unternehmen, sondern auch Regierungsorganisationen, darunter den Secret Service, Geheimdienste und Militäreinheiten, bedrohen.

Mike wollte corp.com letztes Jahr verkaufen, aber der Forscher Jeff Schmidt überzeugte ihn auf der Grundlage des oben genannten Berichts, den Verkauf zu verschieben. Die Studie ergab außerdem, dass 375 Computer täglich versuchen, ohne Wissen ihrer Besitzer Kontakt mit corp.com aufzunehmen. Die Anfragen beinhalteten Versuche, sich in Unternehmensintranets einzuloggen, auf Netzwerke oder Dateifreigaben zuzugreifen.

Im Rahmen seines eigenen Experiments imitierte Schmidt zusammen mit JAS Global auf corp.com die Art und Weise, wie Windows LAN Dateien und Anfragen verarbeitet. Damit öffneten sie tatsächlich jedem Informationssicherheitsspezialisten ein Tor zur Hölle:

Es war schrecklich. Wir haben das Experiment nach 15 Minuten abgebrochen und [alle erhaltenen] Daten vernichtet. Ein bekannter Tester, der JAS zu diesem Thema beriet, bemerkte, dass das Experiment wie ein „Regen vertraulicher Informationen“ sei und dass er so etwas noch nie gesehen habe.

[Wir haben den E-Mail-Empfang auf corp.com eingerichtet] und nach etwa einer Stunde erhielten wir über 12 Millionen E-Mails, woraufhin wir das Experiment abbrachen. Obwohl die überwiegende Mehrheit der E-Mails automatisiert war, stellten wir fest, dass einige [sicherheits-]sensibel waren, und haben daher den gesamten Datensatz ohne weitere Analyse vernichtet.

Schmidt glaubt, dass Administratoren auf der ganzen Welt seit Jahrzehnten unwissentlich das gefährlichste Botnetz der Geschichte vorbereitet haben. Hunderttausende voll funktionsfähige Computer auf der ganzen Welt sind nicht nur bereit, Teil eines Botnetzes zu werden, sondern auch vertrauliche Daten über ihre Eigentümer und Unternehmen bereitzustellen. Alles, was Sie tun müssen, um davon zu profitieren, ist control corp.com. In diesem Fall wird jede einmal mit dem Unternehmensnetzwerk verbundene Maschine, deren Active Directory über //corp konfiguriert wurde, Teil des Botnetzes.

Microsoft hat das Problem vor 25 Jahren aufgegeben

Wenn Sie denken, dass MS sich der anhaltenden Bacchanalien rund um corp.com irgendwie nicht bewusst war, dann irren Sie sich ernsthaft. Mike hat Microsoft und Bill Gates 1997 persönlich getrolltDies ist die Seite, auf der Benutzer der Betaversion von FrontPage '97 gelandet sind, wobei corp.com als Standard-URL aufgeführt ist:

Die Domain corp.com steht zum Verkauf. Es ist gefährlich für Hunderttausende Unternehmenscomputer, auf denen Windows ausgeführt wird

Als Mike das wirklich satt hatte, begann corp.com, Benutzer auf die Sexshop-Website umzuleiten. Als Reaktion darauf erhielt er Tausende wütender Briefe von Nutzern, die er per Kopie an Bill Gates weiterleitete.

Übrigens hat Mike selbst aus Neugier einen Mailserver eingerichtet und vertrauliche Briefe auf corp.com empfangen. Er versuchte, diese Probleme selbst zu lösen, indem er sich an Unternehmen wandte, aber diese wussten einfach nicht, wie sie die Situation beheben sollten:

Sofort begann ich, vertrauliche E-Mails zu erhalten, darunter vorläufige Versionen von Unternehmensfinanzberichten an die US-amerikanische Börsenaufsichtsbehörde (Securities and Exchange Commission), Personalberichte und andere beängstigende Dinge. Ich habe eine Zeit lang versucht, mit Konzernen zu korrespondieren, aber die meisten wussten nicht, was sie damit anfangen sollten. Also habe ich ihn [den Mailserver] schließlich einfach ausgeschaltet.

MS hat keine aktiven Maßnahmen ergriffen und das Unternehmen weigert sich, sich zu der Situation zu äußern. Ja, Microsoft hat im Laufe der Jahre mehrere Active Directory-Updates veröffentlicht, die das Problem der Kollision von Domänennamen teilweise beheben, aber sie weisen eine Reihe von Problemen auf. Das Unternehmen produzierte auch Empfehlungen zum Einrichten interner Domainnamen, Empfehlungen zum Besitz einer Second-Level-Domain zur Vermeidung von Konflikten und andere Tutorials, die normalerweise nicht gelesen werden.

Aber das Wichtigste sind die Updates. Erstens: Um sie anzuwenden, müssen Sie das Intranet des Unternehmens vollständig löschen. Zweitens: Nach solchen Updates kann es sein, dass einige Anwendungen langsamer, fehlerhaft oder gar nicht mehr funktionieren. Es ist klar, dass die meisten Unternehmen mit einem aufgebauten Unternehmensnetzwerk solche Risiken kurzfristig nicht eingehen werden. Darüber hinaus sind sich viele von ihnen nicht einmal des vollen Ausmaßes der Bedrohung bewusst, die mit der Umleitung aller Daten auf corp.com verbunden ist, wenn die Maschine aus dem internen Netzwerk entfernt wird.

Maximale Ironie wird beim Betrachten erreicht Forschungsbericht zur Kollision von Domainnamen von Schmidt. Also, nach seinen Angaben, Einige Anfragen an corp.com kommen aus Microsofts eigenem Intranet.

Die Domain corp.com steht zum Verkauf. Es ist gefährlich für Hunderttausende Unternehmenscomputer, auf denen Windows ausgeführt wird

Und was wird als nächstes passieren?

Es scheint, dass die Lösung für diese Situation oberflächlich liegt und am Anfang des Artikels beschrieben wurde: Lassen Sie Microsoft Mikes Domain von ihm kaufen und ihn für immer irgendwo in einen abgelegenen Schrank verbannen.

Aber so einfach ist es nicht. Microsoft bot O'Connor vor einigen Jahren an, seine giftige Domain für Unternehmen auf der ganzen Welt aufzukaufen. Das ist einfach Der Riese bot nur 20 US-Dollar für die Schließung einer solchen Lücke in seinen eigenen Netzwerken.

Jetzt wird die Domain für 1,7 Millionen US-Dollar angeboten. Und selbst wenn Microsoft sich im letzten Moment zum Kauf entschließt, werden sie dann Zeit haben?

Die Domain corp.com steht zum Verkauf. Es ist gefährlich für Hunderttausende Unternehmenscomputer, auf denen Windows ausgeführt wird

An der Umfrage können nur registrierte Benutzer teilnehmen. Einloggenbitte.

Was würden Sie tun, wenn Sie O'Connor wären?

  • 59,6%Lassen Sie Microsoft die Domain für 1,7 Millionen US-Dollar kaufen, oder lassen Sie sie von jemand anderem kaufen.501

  • 3,4%Ich würde es für 20 US-Dollar verkaufen; ich möchte nicht als die Person in die Geschichte eingehen, die eine solche Domain an eine unbekannte Person weitergegeben hat.29

  • 3,3%Ich würde es für immer begraben, wenn Microsoft nicht die richtige Entscheidung treffen könnte.28

  • 21,2%Ich würde die Domain gezielt an Hacker verkaufen, unter der Bedingung, dass sie den Ruf von Microsoft im Unternehmensumfeld zerstören. Sie kennen das Problem seit 1997!178

  • 12,4%Ich würde selbst ein Botnet + einen Mailserver einrichten und beginnen, über das Schicksal der Welt zu entscheiden.104

840 Benutzer haben abgestimmt. 131 Nutzer enthielten sich der Stimme.

Source: habr.com

Kommentar hinzufügen