ドメイン corp.com が売りに出されました。 Windows を実行している何十万もの企業コンピュータにとって危険です

名前の衝突による Web プロキシ自動検出 (WPAD) によるデータ漏洩のスキーム (この場合、内部ドメインと新しい gTLD の XNUMX つの名前の衝突ですが、本質は同じです)。 ソース： ミシガン大学の研究、2016

ドメイン名に対する最古の投資家の一人であるマイク・オコナー氏は、 売りに出す そのコレクションの中で最も危険で物議を醸しているロット: ドメイン コープコム 1,7 年、オコナーは、grill.com、place.com、pub.com などの多くの単純なドメイン名を購入しました。 その中には、Mike が 1994 年間維持していた corp.com も含まれていました。 この投資家はすでに 26 歳であり、古い投資を収益化することに決めました。

問題は、375 年代初頭の Windows Server 000 ベースの企業イントラネットの構築中に Active Directory が不注意に構成されたため、corp.com が少なくとも 2000 台の企業コンピュータにとって潜在的に危険であるということです。当時、内部ルートは単純に「corp」として指定されていました。 」 2010 年代初頭まで、これは問題ではありませんでしたが、ビジネス環境でラップトップが普及するにつれて、ますます多くの従業員が仕事用コンピューターを企業ネットワークの外に移動し始めました。 Active Directory 実装の機能により、ユーザーが //corp に直接リクエストしなくても、多くのアプリケーション (メールなど) が勝手に見慣れたアドレスをノックするという事実が生じます。 しかし、角を曲がったところにある従来のカフェのネットワークに外部接続する場合、データとリクエストが大量に流れ込むことになります。 コープコム.

現在、オコナー氏は、Microsoft 自体がドメインを購入し、Google の最良の伝統に従って、外部の人間がアクセスできない暗い場所にドメインを腐らせ、Windows ネットワークのこのような根本的な脆弱性の問題が解決されることを心から望んでいます。

Active Directory と名前の衝突

Windows を実行している企業ネットワークは、Active Directory ディレクトリ サービスを使用します。 これにより、管理者はグループ ポリシーを使用して、ユーザーの作業環境の均一な構成を確保したり、グループ ポリシーを通じて複数のコンピュータにソフトウェアを展開したり、承認を実行したりすることができます。

Active Directory は DNS と統合されており、TCP/IP 上で実行されます。 ネットワーク内のホストを検索するには、Web プロキシ自動検出 (WAPD) プロトコルと機能を使用します。 DNS名デボルブ (Windows DNS クライアントに組み込まれています)。 この機能により、完全修飾ドメイン名を指定しなくても、他のコンピュータやサーバーを簡単に検索できるようになります。

たとえば、企業が次の名前の内部ネットワークを運用しているとします。 internalnetwork.example.com、従業員は という共有ドライブにアクセスしたいと考えています。 drive1、入力する必要はありません drive1.internalnetwork.example.com エクスプローラーで「\drive1」と入力するだけで、Windows DNS クライアントが名前自体を完成させます。

Active Directory の以前のバージョン (Windows 2000 Server など) では、第 XNUMX レベルの企業ドメインのデフォルトは次のとおりでした。 corp。 そして、多くの企業は内部ドメインをデフォルトのままにしています。 さらに悪いことに、多くの人がこの欠陥のある設定の上に巨大なネットワークを構築し始めています。

デスクトップ コンピューターの時代には、これらのコンピューターを企業ネットワークの外に持ち出す人はいなかったため、これはセキュリティ上大きな問題ではありませんでした。 しかし、従業員がネットワーク パスのある会社で働いている場合はどうなるでしょうか。 corp Active Directory の場合、会社のラップトップを持って地元のスターバックスに行きますか? その後、Web プロキシ自動検出 (WPAD) プロトコルと DNS 名のデボルブ機能が有効になります。

ラップトップ上の一部のサービスが引き続き内部ドメインを攻撃する可能性が高くなります。 corp、しかし、それは見つかりません。代わりに、リクエストはオープンなインターネットから corp.com ドメインに解決されます。

実際には、これは、corp.com の所有者が、この指定を使用して誤って企業環境から離れた数十万台のコンピュータからのプライベート リクエストを受動的に傍受できることを意味します。 corp Active Directory 内のドメインの場合。

アメリカのトラフィックにおける WPAD リクエストの漏洩。 2016 年のミシガン大学の研究によると、 ソース

ドメインがまだ販売されていないのはなぜですか?

2014 年、ICANN の専門家は次の文書を発表しました。 素晴らしい研究 DNS での名前の衝突。 内部ネットワークからの情報漏洩は営利企業だけでなく、シークレットサービス、諜報機関、軍部門などの政府組織も脅かすため、この研究には米国土安全保障省が一部資金提供した。

マイク氏は昨年corp.comを売却したいと考えていたが、研究者のジェフ・シュミット氏が前述の報告書に基づいて売却を延期するよう説得した。 この調査では、毎日 375 台のコンピューターが所有者の知らないうちに corp.com へのアクセスを試みていることも判明しました。 リクエストには、企業イントラネットへのログイン、ネットワークへのアクセス、またはファイル共有の試みが含まれていました。

シュミット氏は、自身の実験の一環として、JAS Global と共同で、Windows LAN がファイルとリクエストを処理する方法を corp.com で模倣しました。 これを実行することで、彼らは実際、情報セキュリティの専門家にとって地獄への入り口を開いてしまったのです。

ひどいものでした。 私たちは 15 分後に実験を中止し、[得られたすべての] データを破棄しました。 この問題について JAS に助言した著名な試験担当者は、この実験は「機密情報の雨」のようなもので、このようなものは見たことがないと述べた。

[corp.com にメール受信を設定し]、約 12 時間後には XNUMX 万件を超えるメールを受信し、その後実験を中止しました。 電子メールの大部分は自動化されていましたが、中には [セキュリティ] に機密性の高いものがあることが判明したため、さらなる分析を行わずにデータセット全体を破棄しました。

シュミット氏は、世界中の管理者が何十年もの間、歴史上最も危険なボットネットを無意識のうちに準備してきたと考えています。 世界中で何十万台もの本格的に動作するコンピューターがボットネットの一部になるだけでなく、その所有者や会社に関する機密データを提供する準備ができています。 これを利用するには、control corp.com を利用するだけです。 この場合、企業ネットワークに一度接続され、//corp を介して Active Directory が設定されたマシンはすべてボットネットの一部になります。

マイクロソフトは25年前にこの問題を諦めた

MS が corp.com の周りで進行中のバカ騒ぎにどういうわけか気づいていなかった、と思っているなら、それは大きな間違いです。 マイクは1997年にマイクロソフトとビル・ゲイツを個人的に荒らしていたこれは、FrontPage '97 のベータ版のユーザーがアクセスしたページで、corp.com がデフォルトの URL としてリストされています。

マイクがこれに本当にうんざりしたとき、corp.com はユーザーをセックス ショップの Web サイトにリダイレクトし始めました。 これに応じて、彼はユーザーから何千通もの怒りの手紙を受け取り、それをコピーしてビル・ゲイツにリダイレクトした。

ちなみに、Mike 自身も好奇心からメール サーバーをセットアップし、corp.com で機密の手紙を受信しました。 彼は企業に連絡してこれらの問題を自分で解決しようとしましたが、企業は状況を修正する方法を知りませんでした。

すぐに、米国証券取引委員会への企業財務報告書の暫定版、人事報告書、その他の恐ろしい内容を含む機密メールが届くようになりました。 しばらく企業とやり取りをしてみましたが、ほとんどの企業はどうすればよいのかわかりませんでした。 それで、最終的に[メールサーバー]をオフにしました。

MSは積極的な行動をとっておらず、この状況についてのコメントを拒否している。 はい、Microsoft は長年にわたり、ドメイン名の衝突問題に部分的に対処するいくつかの Active Directory アップデートをリリースしてきましたが、実際には多くの問題がありました。 同社はまた、 提言 内部ドメイン名の設定、競合を避けるための第 XNUMX レベル ドメインの所有に関する推奨事項、および通常は読まれないその他のチュートリアルです。

しかし、最も重要なことはアップデートにあります。 まず、それらを適用するには、会社のイントラネットを完全に停止する必要があります。 XNUMX 番目: このような更新の後、一部のアプリケーションの動作が遅くなったり、正しく動作しなくなったり、完全に動作しなくなったりする可能性があります。 構築された企業ネットワークを持つほとんどの企業が、短期的にはそのようなリスクを負わないことは明らかです。 さらに、マシンが内部ネットワークの外に持ち出されたときに、すべてが corp.com にリダイレクトされるという脅威の本格的な規模を認識していない人も少なくありません。

あなたが見るとき、最大限の皮肉が達成されます Schmidt ドメイン名衝突調査レポート。 つまり、彼のデータによると、 corp.com へのリクエストの一部は、Microsoft 自身のイントラネットから送信されます。

そして次に何が起こるでしょうか？

この状況の解決策は表面上にあり、記事の冒頭で説明したように、Microsoft に Mike のドメインを買収させ、彼を離れたクローゼットのどこかに永久に追放することです。

しかし、それはそれほど単純ではありません。 マイクロソフトは数年前、オコナー氏に彼の有害なドメインを世界中の企業に買い取るよう提案した。 それはただ 巨大企業は、自社のネットワークにあるそのような穴をふさぐのにたった20万ドルしか提示しなかった.

現在、このドメインは 1,7 万ドルで提供されていますが、たとえ Microsoft が土壇場で購入を決定したとしても、時間はあるでしょうか?

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

あなたがオコナーだったらどうしますか?

• 視聴者の３８%がMicrosoft に 1,7 万ドルでドメインを購入してもらうか、他の人に購入してもらいましょう。501

• 視聴者の３８%が私なら 20 万ドルで売りますが、そのようなドメインを見知らぬ誰かに漏洩した人物として歴史に残りたくありません。29

• 視聴者の３８%がMicrosoft が正しい決定を下せない場合、私はそれを永久に自分で葬るつもりです。28

• 視聴者の３８%が私は特に、企業環境における Microsoft の評判を破壊することを条件に、ハッカーにドメインを販売します。 彼らは 1997 年からこの問題について知っていました!178

• 視聴者の３８%が私は自分でボットネット + メール サーバーをセットアップし、世界の運命を決定し始めるでしょう。104

840 人のユーザーが投票しました。 131 ユーザーが棄権しました。

出所： habr.com