ProHoster > El dominio corp.com está a la venta. Es peligroso para cientos de miles de computadoras corporativas que ejecutan Windows.

El dominio corp.com está a la venta. Es peligroso para cientos de miles de computadoras corporativas que ejecutan Windows.

El dominio corp.com está a la venta. Es peligroso para cientos de miles de computadoras corporativas que ejecutan Windows.
Esquema de fuga de datos a través de Web Proxy Auto-Discovery (WPAD) debido a una colisión de nombres (en este caso, una colisión de un dominio interno con el nombre de uno de los nuevos gTLD, pero la esencia es la misma). Fuente: Estudio de la Universidad de Michigan, 2016

Mike O'Connor, uno de los inversores más antiguos en nombres de dominio, pone a la venta el lote más peligroso y controvertido de su colección: dominio corp.com por 1,7 millones de dólares. En 1994, O'Connor compró muchos nombres de dominio simples, como grill.com, place.com, pub.com y otros. Entre ellos se encontraba corp.com, que Mike conservó durante 26 años. El inversor ya tenía 70 años y decidió monetizar sus antiguas inversiones.

El problema es que corp.com es potencialmente peligroso para al menos 375 ordenadores corporativos debido a la configuración descuidada de Active Directory durante la construcción de intranets corporativas a principios de la década de 000 basadas en Windows Server 2000, cuando la raíz interna se especificaba simplemente como “corp. .” Hasta principios de la década de 2010, esto no era un problema, pero con el auge de las computadoras portátiles en los entornos empresariales, cada vez más empleados comenzaron a trasladar sus computadoras de trabajo fuera de la red corporativa. Las características de la implementación de Active Directory llevan al hecho de que incluso sin una solicitud directa del usuario a //corp, varias aplicaciones (por ejemplo, correo) llaman por sí solas a una dirección familiar. Pero en el caso de una conexión externa a la red en un café convencional a la vuelta de la esquina, esto genera un flujo de datos y solicitudes que llegan a borbotones. corp.com.

Ahora O'Connor realmente espera que Microsoft compre el dominio y, siguiendo las mejores tradiciones de Google, lo pudra en algún lugar oscuro e inaccesible para los forasteros, se resolverá el problema con una vulnerabilidad tan fundamental de las redes de Windows.

Active Directory y colisión de nombres

Las redes corporativas que ejecutan Windows utilizan el servicio de directorio Active Directory. Permite a los administradores utilizar políticas de grupo para garantizar una configuración uniforme del entorno de trabajo del usuario, implementar software en varias computadoras a través de políticas de grupo, realizar autorizaciones, etc.

Active Directory está integrado con DNS y se ejecuta sobre TCP/IP. Para buscar hosts dentro de la red, el protocolo Web Proxy Auto-Discovery (WAPD) y la función Devolución de nombre DNS (integrado en el cliente DNS de Windows). Esta característica facilita la búsqueda de otras computadoras o servidores sin tener que proporcionar un nombre de dominio completo.

Por ejemplo, si una empresa opera una red interna llamada internalnetwork.example.comy el empleado quiere acceder a una unidad compartida llamada drive1, no es necesario entrar drive1.internalnetwork.example.com en Explorer, simplemente escriba \drive1 y el cliente DNS de Windows completará el nombre.

En versiones anteriores de Active Directory (por ejemplo, Windows 2000 Server), el valor predeterminado para el dominio corporativo de segundo nivel era corp. Y muchas empresas han mantenido el valor predeterminado para su dominio interno. Peor aún, muchos han comenzado a construir vastas redes sobre esta configuración defectuosa.

En la época de las computadoras de escritorio, esto no era un gran problema de seguridad porque nadie sacaba estas computadoras de la red corporativa. Pero, ¿qué sucede cuando un empleado que trabaja en una empresa con una ruta de red corp en Active Directory toma una computadora portátil corporativa y va al Starbucks local? Entonces entran en vigor el protocolo Web Proxy Auto-Discovery (WPAD) y la función de devolución de nombres DNS.

El dominio corp.com está a la venta. Es peligroso para cientos de miles de computadoras corporativas que ejecutan Windows.

Existe una alta probabilidad de que algunos servicios de la computadora portátil sigan llamando al dominio interno. corp, pero no lo encontrará y, en su lugar, las solicitudes se resolverán en el dominio corp.com desde Internet abierto.

En la práctica, esto significa que el propietario de corp.com puede interceptar pasivamente solicitudes privadas de cientos de miles de computadoras que abandonan accidentalmente el entorno corporativo utilizando la designación corp para su dominio en Active Directory.

El dominio corp.com está a la venta. Es peligroso para cientos de miles de computadoras corporativas que ejecutan Windows.
Fuga de solicitudes WPAD en el tráfico americano. Según un estudio de la Universidad de Michigan de 2016, fuente

¿Por qué el dominio aún no se ha vendido?

En 2014, los expertos de la ICANN publicaron gran estudio colisiones de nombres en DNS. El estudio fue financiado en parte por el Departamento de Seguridad Nacional de Estados Unidos porque las filtraciones de información de redes internas amenazan no sólo a las empresas comerciales, sino también a las organizaciones gubernamentales, incluidos el Servicio Secreto, las agencias de inteligencia y las ramas militares.

Mike quería vender corp.com el año pasado, pero el investigador Jeff Schmidt lo convenció de retrasar la venta basándose en el informe antes mencionado. El estudio también encontró que 375 computadoras intentan comunicarse con corp.com todos los días sin el conocimiento de sus propietarios. Las solicitudes contenían intentos de iniciar sesión en intranets corporativas, acceder a redes o compartir archivos.

Como parte de su propio experimento, Schmidt, junto con JAS Global, imitó en corp.com la forma en que Windows LAN procesa archivos y solicitudes. Al hacer esto, de hecho, abrieron un portal al infierno para cualquier especialista en seguridad de la información:

Fue terrible. Detuvimos el experimento después de 15 minutos y destruimos [todos los datos obtenidos]. Un conocido evaluador que asesoró a JAS sobre este tema señaló que el experimento fue como "una lluvia de información confidencial" y que nunca había visto nada parecido.

[Configuramos la recepción de correo en corp.com] y después de aproximadamente una hora recibimos más de 12 millones de correos electrónicos, después de lo cual detuvimos el experimento. Aunque la gran mayoría de los correos electrónicos estaban automatizados, descubrimos que algunos eran sensibles [a la seguridad] y, por lo tanto, destruimos todo el conjunto de datos sin realizar más análisis.

Schmidt cree que los administradores de todo el mundo llevan décadas preparando, sin saberlo, la botnet más peligrosa de la historia. Cientos de miles de ordenadores en pleno funcionamiento en todo el mundo están preparados no sólo para formar parte de una botnet, sino también para proporcionar datos confidenciales sobre sus propietarios y empresas. Todo lo que necesitas hacer para aprovecharlo es control corp.com. En este caso, cualquier máquina que una vez esté conectada a la red corporativa, cuyo Active Directory fue configurado a través de //corp, pasa a formar parte de la botnet.

Microsoft abandonó el problema hace 25 años

Si cree que MS de alguna manera no estaba al tanto de la bacanal en curso en torno a corp.com, entonces está muy equivocado. Mike trolleó personalmente a Microsoft y Bill Gates en 1997Esta es la página a la que llegaron los usuarios de la versión beta de FrontPage '97, con corp.com como URL predeterminada:

El dominio corp.com está a la venta. Es peligroso para cientos de miles de computadoras corporativas que ejecutan Windows.

Cuando Mike se cansó mucho de esto, corp.com comenzó a redirigir a los usuarios al sitio web del sex shop. En respuesta, recibió miles de cartas enojadas de usuarios, que redirigió mediante copia a Bill Gates.

Por cierto, el propio Mike, por curiosidad, instaló un servidor de correo y recibió cartas confidenciales en corp.com. Intentó resolver estos problemas él mismo contactando a las empresas, pero estas simplemente no sabían cómo corregir la situación:

Inmediatamente comencé a recibir correos electrónicos confidenciales, incluidas versiones preliminares de informes financieros corporativos a la Comisión de Bolsa y Valores de EE. UU., informes de recursos humanos y otras cosas aterradoras. Intenté mantener correspondencia con corporaciones durante un tiempo, pero la mayoría de ellas no sabían qué hacer con ella. Así que finalmente lo apagué [el servidor de correo].

MS no tomó ninguna medida activa y la empresa se niega a comentar sobre la situación. Sí, Microsoft ha lanzado varias actualizaciones de Active Directory a lo largo de los años que solucionan parcialmente el problema de la colisión de nombres de dominio, pero tienen varios problemas. La empresa también produjo recomendaciones sobre cómo configurar nombres de dominio internos, recomendaciones sobre cómo poseer un dominio de segundo nivel para evitar conflictos y otros tutoriales que generalmente no se leen.

Pero lo más importante está en las actualizaciones. Primero: para aplicarlos es necesario desconectar por completo la intranet de la empresa. Segundo: después de dichas actualizaciones, algunas aplicaciones pueden comenzar a funcionar más lentamente, de manera incorrecta o dejar de funcionar por completo. Está claro que la mayoría de las empresas con una red corporativa desarrollada no correrán tales riesgos en el corto plazo. Además, muchos de ellos ni siquiera se dan cuenta de la magnitud de la amenaza que conlleva la redirección de todo a corp.com cuando la máquina se saca de la red interna.

La máxima ironía se logra cuando miras Informe de investigación de colisiones de nombres de dominio de Schmidt. Entonces, según sus datos, Algunas solicitudes a corp.com provienen de la propia intranet de Microsoft.

El dominio corp.com está a la venta. Es peligroso para cientos de miles de computadoras corporativas que ejecutan Windows.

¿Y qué pasará después?

Parecería que la solución a esta situación está en la superficie y se describió al principio del artículo: dejar que Microsoft le compre el dominio a Mike y lo prohíba para siempre en algún lugar de un armario remoto.

Pero no es tan simple. Microsoft ofreció a O'Connor comprar su dominio tóxico para empresas de todo el mundo hace varios años. eso es solo El gigante ofreció sólo 20 mil dólares por cerrar ese agujero en sus propias redes.

Ahora el dominio se ofrece por 1,7 millones de dólares y aunque Microsoft decida comprarlo en el último momento, ¿tendrán tiempo?

El dominio corp.com está a la venta. Es peligroso para cientos de miles de computadoras corporativas que ejecutan Windows.

Solo los usuarios registrados pueden participar en la encuesta. Registrarsepor favor

¿Qué harías si fueras O'Connor?

  • 59,6%Dejemos que Microsoft compre el dominio por 1,7 millones de dólares o que alguien más lo compre.501

  • 3,4%Lo vendería por 20 mil dólares, no quiero pasar a la historia como la persona que filtró tal dominio a un desconocido.29

  • 3,3%Lo enterraría para siempre si Microsoft no puede tomar la decisión correcta.28

  • 21,2%Vendería específicamente el dominio a piratas informáticos con la condición de que destruyan la reputación de Microsoft en el entorno corporativo. ¡Conocen el problema desde 1997!178

  • 12,4%Yo mismo configuraría una botnet + un servidor de correo y comenzaría a decidir el destino del mundo.104

840 usuarios votaron. 131 usuario se abstuvo.

Fuente: habr.com

Añadir un comentario