Schema des Datenlecks durch Web Proxy Auto-Discovery (WPAD) aufgrund einer Namenskollision (in diesem Fall eine Kollision einer internen Domäne mit dem Namen einer der neuen gTLDs, aber das Wesentliche ist dasselbe). Quelle:
Mike O'Connor, einer der ältesten Investoren in Domainnamen,
Das Problem besteht darin, dass corp.com für mindestens 375 Unternehmenscomputer potenziell gefährlich ist, da Active Directory beim Aufbau von Unternehmensintranets in den frühen 000er Jahren auf Basis von Windows Server 2000 nachlässig konfiguriert wurde und das interne Stammverzeichnis einfach als „corp“ angegeben wurde .“ Bis Anfang der 2010er Jahre war dies kein Problem, doch mit der Verbreitung von Laptops in Geschäftsumgebungen begannen immer mehr Mitarbeiter, ihre Arbeitscomputer außerhalb des Unternehmensnetzwerks zu verlegen. Merkmale der Active Directory-Implementierung führen dazu, dass auch ohne direkte Benutzeranfrage an //corp eine Reihe von Anwendungen (z. B. E-Mail) selbstständig an eine bekannte Adresse klopfen. Bei einem externen Anschluss an das Netzwerk in einem herkömmlichen Café um die Ecke führt dies jedoch zu einem Strom von Daten und Anfragen corp.com.
Nun hofft O'Connor wirklich, dass Microsoft selbst die Domain kauft und sie in bester Google-Tradition an einem dunklen und für Außenstehende unzugänglichen Ort verrottet, damit das Problem mit einer so grundlegenden Schwachstelle von Windows-Netzwerken gelöst wird.
Active Directory- und Namenskollision
Unternehmensnetzwerke unter Windows nutzen den Active Directory-Verzeichnisdienst. Es ermöglicht Administratoren, Gruppenrichtlinien zu verwenden, um eine einheitliche Konfiguration der Arbeitsumgebung des Benutzers sicherzustellen, Software über Gruppenrichtlinien auf mehreren Computern bereitzustellen, Autorisierungen durchzuführen usw.
Active Directory ist in DNS integriert und läuft auf TCP/IP. Um nach Hosts innerhalb des Netzwerks zu suchen, verwenden Sie das Web Proxy Auto-Discovery (WAPD)-Protokoll und die Funktion
Wenn beispielsweise ein Unternehmen ein internes Netzwerk mit dem Namen betreibt internalnetwork.example.com
, und der Mitarbeiter möchte auf ein freigegebenes Laufwerk mit dem Namen zugreifen drive1
, keine Eingabe erforderlich drive1.internalnetwork.example.com
Geben Sie im Explorer einfach \drive1 ein – und der Windows-DNS-Client vervollständigt den Namen selbst.
In früheren Versionen von Active Directory – zum Beispiel Windows 2000 Server – war die Standardeinstellung für die Unternehmensdomäne der zweiten Ebene corp
. Und viele Unternehmen haben die Standardeinstellung für ihre interne Domäne beibehalten. Schlimmer noch, viele haben begonnen, auf dieser fehlerhaften Struktur riesige Netzwerke aufzubauen.
Zu Zeiten der Desktop-Computer stellte dies kein großes Sicherheitsproblem dar, da niemand diese Computer außerhalb des Unternehmensnetzwerks mitnahm. Aber was passiert, wenn ein Mitarbeiter in einem Unternehmen mit einem Netzwerkpfad arbeitet? corp
in Active Directory nimmt einen Firmenlaptop und geht zum örtlichen Starbucks? Dann treten das Web Proxy Auto-Discovery (WPAD)-Protokoll und die DNS-Namensdevolutionsfunktion in Kraft.
Es besteht eine hohe Wahrscheinlichkeit, dass einige Dienste auf dem Laptop weiterhin auf die interne Domäne zugreifen corp
, findet es aber nicht und stattdessen werden Anfragen aus dem offenen Internet an die Domäne corp.com aufgelöst.
In der Praxis bedeutet dies, dass der Besitzer von corp.com passiv private Anfragen von Hunderttausenden Computern abfangen kann, die unter der Bezeichnung versehentlich die Unternehmensumgebung verlassen corp
für Ihre Domäne im Active Directory.
Durchsickern von WPAD-Anfragen im amerikanischen Verkehr. Aus einer Studie der University of Michigan aus dem Jahr 2016 geht hervor,
Warum ist die Domain noch nicht verkauft?
Im Jahr 2014 veröffentlichten ICANN-Experten
Mike wollte corp.com letztes Jahr verkaufen, aber der Forscher Jeff Schmidt überzeugte ihn auf der Grundlage des oben genannten Berichts, den Verkauf zu verschieben. Die Studie ergab außerdem, dass 375 Computer täglich versuchen, ohne Wissen ihrer Besitzer Kontakt mit corp.com aufzunehmen. Die Anfragen beinhalteten Versuche, sich in Unternehmensintranets einzuloggen, auf Netzwerke oder Dateifreigaben zuzugreifen.
Im Rahmen seines eigenen Experiments imitierte Schmidt zusammen mit JAS Global auf corp.com die Art und Weise, wie Windows LAN Dateien und Anfragen verarbeitet. Damit öffneten sie tatsächlich jedem Informationssicherheitsspezialisten ein Tor zur Hölle:
Es war schrecklich. Wir haben das Experiment nach 15 Minuten abgebrochen und [alle erhaltenen] Daten vernichtet. Ein bekannter Tester, der JAS zu diesem Thema beriet, bemerkte, dass das Experiment wie ein „Regen vertraulicher Informationen“ sei und dass er so etwas noch nie gesehen habe.
[Wir haben den E-Mail-Empfang auf corp.com eingerichtet] und nach etwa einer Stunde erhielten wir über 12 Millionen E-Mails, woraufhin wir das Experiment abbrachen. Obwohl die überwiegende Mehrheit der E-Mails automatisiert war, stellten wir fest, dass einige [sicherheits-]sensibel waren, und haben daher den gesamten Datensatz ohne weitere Analyse vernichtet.
Schmidt glaubt, dass Administratoren auf der ganzen Welt seit Jahrzehnten unwissentlich das gefährlichste Botnetz der Geschichte vorbereitet haben. Hunderttausende voll funktionsfähige Computer auf der ganzen Welt sind nicht nur bereit, Teil eines Botnetzes zu werden, sondern auch vertrauliche Daten über ihre Eigentümer und Unternehmen bereitzustellen. Alles, was Sie tun müssen, um davon zu profitieren, ist control corp.com. In diesem Fall wird jede einmal mit dem Unternehmensnetzwerk verbundene Maschine, deren Active Directory über //corp konfiguriert wurde, Teil des Botnetzes.
Microsoft hat das Problem vor 25 Jahren aufgegeben
Wenn Sie denken, dass MS sich der anhaltenden Bacchanalien rund um corp.com irgendwie nicht bewusst war, dann irren Sie sich ernsthaft.
Als Mike das wirklich satt hatte, begann corp.com, Benutzer auf die Sexshop-Website umzuleiten. Als Reaktion darauf erhielt er Tausende wütender Briefe von Nutzern, die er per Kopie an Bill Gates weiterleitete.
Übrigens hat Mike selbst aus Neugier einen Mailserver eingerichtet und vertrauliche Briefe auf corp.com empfangen. Er versuchte, diese Probleme selbst zu lösen, indem er sich an Unternehmen wandte, aber diese wussten einfach nicht, wie sie die Situation beheben sollten:
Sofort begann ich, vertrauliche E-Mails zu erhalten, darunter vorläufige Versionen von Unternehmensfinanzberichten an die US-amerikanische Börsenaufsichtsbehörde (Securities and Exchange Commission), Personalberichte und andere beängstigende Dinge. Ich habe eine Zeit lang versucht, mit Konzernen zu korrespondieren, aber die meisten wussten nicht, was sie damit anfangen sollten. Also habe ich ihn [den Mailserver] schließlich einfach ausgeschaltet.
MS hat keine aktiven Maßnahmen ergriffen und das Unternehmen weigert sich, sich zu der Situation zu äußern. Ja, Microsoft hat im Laufe der Jahre mehrere Active Directory-Updates veröffentlicht, die das Problem der Kollision von Domänennamen teilweise beheben, aber sie weisen eine Reihe von Problemen auf. Das Unternehmen produzierte auch Empfehlungen zum Einrichten interner Domainnamen, Empfehlungen zum Besitz einer Second-Level-Domain zur Vermeidung von Konflikten und andere Tutorials, die normalerweise nicht gelesen werden.
Aber das Wichtigste sind die Updates. Erstens: Um sie anzuwenden, müssen Sie das Intranet des Unternehmens vollständig löschen. Zweitens: Nach solchen Updates kann es sein, dass einige Anwendungen langsamer, fehlerhaft oder gar nicht mehr funktionieren. Es ist klar, dass die meisten Unternehmen mit einem aufgebauten Unternehmensnetzwerk solche Risiken kurzfristig nicht eingehen werden. Darüber hinaus sind sich viele von ihnen nicht einmal des vollen Ausmaßes der Bedrohung bewusst, die mit der Umleitung aller Daten auf corp.com verbunden ist, wenn die Maschine aus dem internen Netzwerk entfernt wird.
Maximale Ironie wird beim Betrachten erreicht
Und was wird als nächstes passieren?
Es scheint, dass die Lösung für diese Situation oberflächlich liegt und am Anfang des Artikels beschrieben wurde: Lassen Sie Microsoft Mikes Domain von ihm kaufen und ihn für immer irgendwo in einen abgelegenen Schrank verbannen.
Aber so einfach ist es nicht. Microsoft bot O'Connor vor einigen Jahren an, seine giftige Domain für Unternehmen auf der ganzen Welt aufzukaufen. Das ist einfach Der Riese bot nur 20 US-Dollar für die Schließung einer solchen Lücke in seinen eigenen Netzwerken.
Jetzt wird die Domain für 1,7 Millionen US-Dollar angeboten. Und selbst wenn Microsoft sich im letzten Moment zum Kauf entschließt, werden sie dann Zeit haben?
An der Umfrage können nur registrierte Benutzer teilnehmen.
Was würden Sie tun, wenn Sie O'Connor wären?
-
59,6%Lassen Sie Microsoft die Domain für 1,7 Millionen US-Dollar kaufen, oder lassen Sie sie von jemand anderem kaufen.501
-
3,4%Ich würde es für 20 US-Dollar verkaufen; ich möchte nicht als die Person in die Geschichte eingehen, die eine solche Domain an eine unbekannte Person weitergegeben hat.29
-
3,3%Ich würde es für immer begraben, wenn Microsoft nicht die richtige Entscheidung treffen könnte.28
-
21,2%Ich würde die Domain gezielt an Hacker verkaufen, unter der Bedingung, dass sie den Ruf von Microsoft im Unternehmensumfeld zerstören. Sie kennen das Problem seit 1997!178
-
12,4%Ich würde selbst ein Botnet + einen Mailserver einrichten und beginnen, über das Schicksal der Welt zu entscheiden.104
840 Benutzer haben abgestimmt. 131 Nutzer enthielten sich der Stimme.
Source: habr.com