ProHoster > Il dominio corp.com è in vendita. È pericoloso per centinaia di migliaia di computer aziendali che eseguono Windows

Il dominio corp.com è in vendita. È pericoloso per centinaia di migliaia di computer aziendali che eseguono Windows

Il dominio corp.com è in vendita. È pericoloso per centinaia di migliaia di computer aziendali che eseguono Windows
Schema di perdita di dati tramite Web Proxy Auto-Discovery (WPAD) a causa della collisione del nome (in questo caso, una collisione di un dominio interno con il nome di uno dei nuovi gTLD, ma l'essenza è la stessa). Fonte: Studio dell’Università del Michigan, 2016

Mike O'Connor, uno dei più vecchi investitori in nomi di dominio, mette in vendita il lotto più pericoloso e controverso della sua collezione: dominio corp.com per 1,7 milioni di dollari. Nel 1994, O'Connor acquistò molti nomi di dominio semplici, come grill.com, place.com, pub.com e altri. Tra questi c'era corp.com, che Mike conservò per 26 anni. L'investitore aveva già 70 anni e ha deciso di monetizzare i suoi vecchi investimenti.

Il problema è che corp.com è potenzialmente pericoloso per almeno 375 computer aziendali a causa della negligente configurazione di Active Directory durante la costruzione delle intranet aziendali all'inizio degli anni 000 basate su Windows Server 2000, quando la root interna veniva semplicemente specificata come “corp .” Fino all’inizio degli anni 2010 questo non costituiva un problema, ma con l’avvento dei laptop negli ambienti aziendali, sempre più dipendenti hanno iniziato a spostare i propri computer di lavoro al di fuori della rete aziendale. Le caratteristiche dell'implementazione di Active Directory portano al fatto che anche senza una richiesta diretta dell'utente a //corp, un certo numero di applicazioni (ad esempio la posta) bussano da sole a un indirizzo familiare. Ma nel caso di una connessione esterna alla rete in un normale bar dietro l'angolo, ciò porta ad un flusso di dati e richieste che si riversano su corp.com.

Ora O'Connor spera davvero che la stessa Microsoft acquisterà il dominio e, secondo le migliori tradizioni di Google, lo marcirà in un posto oscuro e inaccessibile agli estranei, il problema con una vulnerabilità così fondamentale delle reti Windows sarà risolto.

Active Directory e collisione dei nomi

Le reti aziendali che eseguono Windows utilizzano il servizio directory Active Directory. Consente agli amministratori di utilizzare criteri di gruppo per garantire una configurazione uniforme dell'ambiente di lavoro dell'utente, distribuire software su più computer tramite criteri di gruppo, eseguire autorizzazioni, ecc.

Active Directory è integrato con DNS e funziona su TCP/IP. Per cercare host all'interno della rete, il protocollo Web Proxy Auto-Discovery (WAPD) e la funzione Devoluzione del nome DNS (integrato nel client DNS di Windows). Questa funzionalità semplifica la ricerca di altri computer o server senza dover fornire un nome di dominio completo.

Ad esempio, se un'azienda gestisce una rete interna denominata internalnetwork.example.come il dipendente desidera accedere a un Drive condiviso chiamato drive1, non è necessario entrare drive1.internalnetwork.example.com in Explorer, digita semplicemente \drive1 e il client DNS di Windows completerà il nome stesso.

Nelle versioni precedenti di Active Directory, ad esempio Windows 2000 Server, l'impostazione predefinita per il dominio aziendale di secondo livello era corp. E molte aziende hanno mantenuto l'impostazione predefinita per il proprio dominio interno. Ancor peggio, molti hanno iniziato a costruire vaste reti su questa configurazione difettosa.

Ai tempi dei computer desktop, questo non rappresentava un grosso problema di sicurezza perché nessuno portava questi computer fuori dalla rete aziendale. Ma cosa succede quando un dipendente lavora in un'azienda con un percorso di rete corp in Active Directory prende un laptop aziendale e va allo Starbucks locale? Successivamente entrano in vigore il protocollo Web Proxy Auto-Discovery (WPAD) e la funzione di devoluzione dei nomi DNS.

Il dominio corp.com è in vendita. È pericoloso per centinaia di migliaia di computer aziendali che eseguono Windows

C'è un'alta probabilità che alcuni servizi sul laptop continuino a bussare al dominio interno corp, ma non lo troverà e le richieste verranno invece risolte al dominio corp.com dalla rete Internet aperta.

In pratica, ciò significa che il proprietario di corp.com può intercettare passivamente le richieste private di centinaia di migliaia di computer che escono accidentalmente dall'ambiente aziendale utilizzando la designazione corp per il tuo dominio in Active Directory.

Il dominio corp.com è in vendita. È pericoloso per centinaia di migliaia di computer aziendali che eseguono Windows
Perdita di richieste WPAD nel traffico americano. Da uno studio dell’Università del Michigan del 2016, fonte

Perché il dominio non è stato ancora venduto?

Nel 2014 gli esperti dell’ICANN hanno pubblicato ottimo studio collisioni di nomi nel DNS. Lo studio è stato in parte finanziato dal Dipartimento per la Sicurezza Nazionale degli Stati Uniti perché le fughe di informazioni dalle reti interne minacciano non solo le aziende commerciali, ma anche le organizzazioni governative, compresi i servizi segreti, le agenzie di intelligence e le forze armate.

Mike voleva vendere corp.com l'anno scorso, ma il ricercatore Jeff Schmidt lo ha convinto a ritardare la vendita sulla base del rapporto di cui sopra. Lo studio ha inoltre rilevato che ogni giorno 375 computer tentano di contattare corp.com all'insaputa dei proprietari. Le richieste contenevano tentativi di accesso a intranet aziendali, reti di accesso o condivisioni di file.

Nell'ambito del suo esperimento, Schmidt, insieme a JAS Global, ha imitato su corp.com il modo in cui la LAN di Windows elabora file e richieste. In questo modo, di fatto, hanno aperto un portale per l'inferno per qualsiasi specialista della sicurezza informatica:

È stato terribile. Abbiamo interrotto l'esperimento dopo 15 minuti e distrutto [tutti i dati ottenuti]. Un noto tester che ha fornito consulenza a JAS su questo tema ha osservato che l'esperimento è stato come "una pioggia di informazioni riservate" e che non aveva mai visto nulla di simile.

[Abbiamo impostato la ricezione della posta su corp.com] e dopo circa un'ora abbiamo ricevuto oltre 12 milioni di email, dopodiché abbiamo interrotto l'esperimento. Sebbene la stragrande maggioranza delle e-mail fosse automatizzata, abbiamo scoperto che alcune erano sensibili [a livello di sicurezza] e pertanto abbiamo distrutto l'intero set di dati senza ulteriori analisi.

Schmidt ritiene che da decenni gli amministratori di tutto il mondo stiano inconsapevolmente preparando la botnet più pericolosa della storia. Centinaia di migliaia di computer funzionanti a tutti gli effetti in tutto il mondo sono pronti non solo a diventare parte di una botnet, ma anche a fornire dati riservati sui loro proprietari e sulle aziende. Tutto quello che devi fare per trarne vantaggio è control corp.com. In questo caso, qualsiasi macchina una volta connessa alla rete aziendale, la cui Active Directory è stata configurata tramite //corp, diventa parte della botnet.

Microsoft ha rinunciato al problema 25 anni fa

Se pensi che MS fosse in qualche modo inconsapevole dei baccanali in corso attorno a corp.com, allora ti sbagli di grosso. Mike trollò personalmente Microsoft e Bill Gates nel 1997Questa è la pagina a cui sono arrivati ​​gli utenti della versione beta di FrontPage '97, con corp.com elencato come URL predefinito:

Il dominio corp.com è in vendita. È pericoloso per centinaia di migliaia di computer aziendali che eseguono Windows

Quando Mike si è davvero stancato di tutto ciò, corp.com ha iniziato a reindirizzare gli utenti al sito web del sexy shop. In risposta, ha ricevuto migliaia di lettere arrabbiate da parte degli utenti, che ha reindirizzato in copia a Bill Gates.

A proposito, Mike stesso, per curiosità, ha creato un server di posta e ha ricevuto lettere riservate su corp.com. Ha provato a risolvere questi problemi da solo contattando le aziende, ma semplicemente non sapevano come correggere la situazione:

Immediatamente ho iniziato a ricevere e-mail riservate, comprese versioni preliminari dei rapporti finanziari aziendali alla Securities and Exchange Commission degli Stati Uniti, rapporti sulle risorse umane e altre cose spaventose. Ho provato a corrispondere con le aziende per un po', ma la maggior parte di loro non sapeva cosa farsene. Quindi alla fine ho semplicemente spento [il server di posta].

MS non ha intrapreso alcuna azione attiva e la società si rifiuta di commentare la situazione. Sì, nel corso degli anni Microsoft ha rilasciato diversi aggiornamenti di Active Directory che risolvono parzialmente il problema della collisione dei nomi di dominio, ma presentano una serie di problemi. L'azienda ha anche prodotto raccomandazioni sulla configurazione dei nomi di dominio interni, consigli su come possedere un dominio di secondo livello per evitare conflitti e altri tutorial che solitamente non vengono letti.

Ma la cosa più importante sta negli aggiornamenti. Primo: per applicarli è necessario chiudere completamente la intranet aziendale. Secondo: dopo tali aggiornamenti, alcune applicazioni potrebbero iniziare a funzionare più lentamente, in modo errato o smettere di funzionare del tutto. È chiaro che la maggior parte delle aziende con una rete aziendale consolidata non correrà tali rischi a breve termine. Inoltre, molti di loro non si rendono nemmeno conto della portata della minaccia che comporta il reindirizzamento di tutto su corp.com quando la macchina viene portata al di fuori della rete interna.

Nella visione si raggiunge la massima ironia Rapporto sulla ricerca sulle collisioni dei nomi di dominio Schmidt. Quindi, secondo i suoi dati, alcune richieste a corp.com provengono dalla intranet di Microsoft.

Il dominio corp.com è in vendita. È pericoloso per centinaia di migliaia di computer aziendali che eseguono Windows

E cosa succederà dopo?

Sembrerebbe che la soluzione a questa situazione sia in superficie ed è stata descritta all'inizio dell'articolo: lasciare che Microsoft acquisti da lui il dominio di Mike e bandirlo per sempre da qualche parte in un armadio remoto.

Ma non è così semplice. Diversi anni fa Microsoft ha offerto a O'Connor di rilevare il suo dominio tossico per aziende di tutto il mondo. Questo è giusto Il gigante ha offerto solo 20mila dollari per colmare un simile buco nelle proprie reti.

Adesso il dominio viene offerto per 1,7 milioni di dollari e anche se Microsoft decidesse di acquistarlo all'ultimo momento, avrà tempo?

Il dominio corp.com è in vendita. È pericoloso per centinaia di migliaia di computer aziendali che eseguono Windows

Solo gli utenti registrati possono partecipare al sondaggio. AccediPer favore.

Cosa faresti se fossi O'Connor?

  • 59,6%Lascia che sia Microsoft ad acquistare il dominio per 1,7 milioni di dollari, oppure lascia che lo compri qualcun altro.501

  • 3,4%Lo venderei per 20mila dollari, non voglio passare alla storia come colui che ha fatto trapelare un dominio del genere a qualcuno sconosciuto.29

  • 3,3%Lo seppellirei per sempre se Microsoft non riuscisse a prendere la decisione giusta.28

  • 21,2%Venderei specificatamente il dominio agli hacker a condizione che distruggano la reputazione di Microsoft nell’ambiente aziendale. Conoscono il problema dal 1997!178

  • 12,4%Io stesso creerei una botnet + un server di posta e inizierei a decidere il destino del mondo.104

840 utenti hanno votato. 131 utente si è astenuto.

Fonte: habr.com

Aggiungi un commento