ドメイン名corp.comが売りに出されている。これは数十万台の企業コンピュータにとって脅威となる。 Windows

名前の衝突による Web プロキシ自動検出 (WPAD) によるデータ漏洩のスキーム (この場合、内部ドメインと新しい gTLD の XNUMX つの名前の衝突ですが、本質は同じです)。 ソース： ミシガン大学の研究、2016

ドメイン名に対する最古の投資家の一人であるマイク・オコナー氏は、 売りに出す そのコレクションの中で最も危険で物議を醸しているロット: ドメイン コープコム 1,7 年、オコナーは、grill.com、place.com、pub.com などの多くの単純なドメイン名を購入しました。 その中には、Mike が 1994 年間維持していた corp.com も含まれていました。 この投資家はすでに 26 歳であり、古い投資を収益化することに決めました。

問題は、375年代初頭に企業イントラネットを構築した際にActive Directoryの設定が不注意だったため、corp.comが少なくとも000台の企業コンピュータにとって潜在的に危険であるということだ。 Windows Server 2000年、内部ルートは単に「corp」と指定されていました。2010年代初頭までは問題になりませんでしたが、ビジネス界でノートパソコンが普及するにつれ、ますます多くの従業員が仕事用のコンピューターを社内ネットワーク外に持ち出すようになりました。Active Directoryの実装により、//corpへの直接のユーザーリクエストがなくても、一部のアプリケーション（電子メールなど）は自動的に馴染みのあるアドレスにアクセスします。しかし、街角のカフェなど、外部ネットワークに接続している場合は、大量のデータとリクエストが発生します。 コープコム.

オコナー氏は今、マイクロソフト自身がそのドメインを買い取り、グーグルの伝統に倣って、暗くてアクセスできない場所に放置してくれることを切に願っている。このような根本的な脆弱性の問題点は Windowsネットワークの問題は解決されます。

Active Directory と名前の衝突

企業ネットワークにおいて Windows Active Directoryディレクトリサービスが使用されます。これにより、管理者はグループポリシーを使用して一貫したユーザー環境設定を確保したり、グループポリシーを介して複数のコンピューターにソフトウェアを展開したり、認証を実行したりすることができます。

Active DirectoryはDNSと統合されており、その上で動作します。 TCP/IPネットワーク内のノードを検索するには、Webプロキシ自動検出プロトコル（WAPD）と関数を使用します。 DNS名デボルブ （内蔵） Windows DNSクライアント）。この機能により、完全修飾ドメイン名を指定せずに、他のコンピュータやサーバーを簡単に見つけることができます。

たとえば、企業が次の名前の内部ネットワークを運用しているとします。 internalnetwork.example.com、従業員は という共有ドライブにアクセスしたいと考えています。 drive1、入力する必要はありません drive1.internalnetwork.example.com エクスプローラーで「\drive1」と入力するだけで、クライアントが Windows DNSは名前を自動的に補完します。

Active Directory の以前のバージョンでは、たとえば、 Windows 2000 Server - 企業ドメインの第2レベルにデフォルトで指定されていました corp。 そして、多くの企業は内部ドメインをデフォルトのままにしています。 さらに悪いことに、多くの人がこの欠陥のある設定の上に巨大なネットワークを構築し始めています。

デスクトップ コンピューターの時代には、これらのコンピューターを企業ネットワークの外に持ち出す人はいなかったため、これはセキュリティ上大きな問題ではありませんでした。 しかし、従業員がネットワーク パスのある会社で働いている場合はどうなるでしょうか。 corp Active Directory の場合、会社のラップトップを持って地元のスターバックスに行きますか? その後、Web プロキシ自動検出 (WPAD) プロトコルと DNS 名のデボルブ機能が有効になります。

ラップトップ上の一部のサービスが引き続き内部ドメインを攻撃する可能性が高くなります。 corp、しかし、それは見つかりません。代わりに、リクエストはオープンなインターネットから corp.com ドメインに解決されます。

実際には、これは、corp.com の所有者が、この指定を使用して誤って企業環境から離れた数十万台のコンピュータからのプライベート リクエストを受動的に傍受できることを意味します。 corp Active Directory 内のドメインの場合。

アメリカのトラフィックにおける WPAD リクエストの漏洩。 2016 年のミシガン大学の研究によると、 ソース

ドメインがまだ販売されていないのはなぜですか?

2014 年、ICANN の専門家は次の文書を発表しました。 素晴らしい研究 DNS での名前の衝突。 内部ネットワークからの情報漏洩は営利企業だけでなく、シークレットサービス、諜報機関、軍部門などの政府組織も脅かすため、この研究には米国土安全保障省が一部資金提供した。

マイク氏は昨年corp.comを売却したいと考えていたが、研究者のジェフ・シュミット氏が前述の報告書に基づいて売却を延期するよう説得した。 この調査では、毎日 375 台のコンピューターが所有者の知らないうちに corp.com へのアクセスを試みていることも判明しました。 リクエストには、企業イントラネットへのログイン、ネットワークへのアクセス、またはファイル共有の試みが含まれていました。

シュミットは自身の実験の一環として、JAS Global社と共同で、corp.com上でローカルネットワークがファイルやリクエストを処理する方法をシミュレーションした。 Windowsそうすることで、彼らは事実上、情報セキュリティ専門家にとって地獄への入り口を開いてしまったのだ。

ひどいものでした。 私たちは 15 分後に実験を中止し、[得られたすべての] データを破棄しました。 この問題について JAS に助言した著名な試験担当者は、この実験は「機密情報の雨」のようなもので、このようなものは見たことがないと述べた。

[corp.com にメール受信を設定し]、約 12 時間後には XNUMX 万件を超えるメールを受信し、その後実験を中止しました。 電子メールの大部分は自動化されていましたが、中には [セキュリティ] に機密性の高いものがあることが判明したため、さらなる分析を行わずにデータセット全体を破棄しました。

シュミット氏は、世界中の管理者が何十年もの間、歴史上最も危険なボットネットを無意識のうちに準備してきたと考えています。 世界中で何十万台もの本格的に動作するコンピューターがボットネットの一部になるだけでなく、その所有者や会社に関する機密データを提供する準備ができています。 これを利用するには、control corp.com を利用するだけです。 この場合、企業ネットワークに一度接続され、//corp を介して Active Directory が設定されたマシンはすべてボットネットの一部になります。

マイクロソフトは25年前にこの問題を諦めた

MS が corp.com の周りで進行中のバカ騒ぎにどういうわけか気づいていなかった、と思っているなら、それは大きな間違いです。 マイクは1997年にマイクロソフトとビル・ゲイツを個人的に荒らしていたこれは、FrontPage '97 のベータ版のユーザーがアクセスしたページで、corp.com がデフォルトの URL としてリストされています。

マイクがこれに本当にうんざりしたとき、corp.com はユーザーをセックス ショップの Web サイトにリダイレクトし始めました。 これに応じて、彼はユーザーから何千通もの怒りの手紙を受け取り、それをコピーしてビル・ゲイツにリダイレクトした。

ちなみに、Mike 自身も好奇心からメール サーバーをセットアップし、corp.com で機密の手紙を受信しました。 彼は企業に連絡してこれらの問題を自分で解決しようとしましたが、企業は状況を修正する方法を知りませんでした。

すぐに、米国証券取引委員会への企業財務報告書の暫定版、人事報告書、その他の恐ろしい内容を含む機密メールが届くようになりました。 しばらく企業とやり取りをしてみましたが、ほとんどの企業はどうすればよいのかわかりませんでした。 それで、最終的に[メールサーバー]をオフにしました。

MSは積極的な行動をとっておらず、この状況についてのコメントを拒否している。 はい、Microsoft は長年にわたり、ドメイン名の衝突問題に部分的に対処するいくつかの Active Directory アップデートをリリースしてきましたが、実際には多くの問題がありました。 同社はまた、 提言 内部ドメイン名の設定、競合を避けるための第 XNUMX レベル ドメインの所有に関する推奨事項、および通常は読まれないその他のチュートリアルです。

しかし、最も重要なことはアップデートにあります。 まず、それらを適用するには、会社のイントラネットを完全に停止する必要があります。 XNUMX 番目: このような更新の後、一部のアプリケーションの動作が遅くなったり、正しく動作しなくなったり、完全に動作しなくなったりする可能性があります。 構築された企業ネットワークを持つほとんどの企業が、短期的にはそのようなリスクを負わないことは明らかです。 さらに、マシンが内部ネットワークの外に持ち出されたときに、すべてが corp.com にリダイレクトされるという脅威の本格的な規模を認識していない人も少なくありません。

あなたが見るとき、最大限の皮肉が達成されます Schmidt ドメイン名衝突調査レポート。 つまり、彼のデータによると、 corp.com へのリクエストの一部は、Microsoft 自身のイントラネットから送信されます。

そして次に何が起こるでしょうか？

この状況の解決策は表面上にあり、記事の冒頭で説明したように、Microsoft に Mike のドメインを買収させ、彼を離れたクローゼットのどこかに永久に追放することです。

しかし、それはそれほど単純ではありません。 マイクロソフトは数年前、オコナー氏に彼の有害なドメインを世界中の企業に買い取るよう提案した。 それはただ 巨大企業は、自社のネットワークにあるそのような穴をふさぐのにたった20万ドルしか提示しなかった.

現在、このドメインは 1,7 万ドルで提供されていますが、たとえ Microsoft が土壇場で購入を決定したとしても、時間はあるでしょうか?

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

あなたがオコナーだったらどうしますか?

• 59,6%Microsoft に 1,7 万ドルでドメインを購入してもらうか、他の人に購入してもらいましょう。501

• 3,4%私なら 20 万ドルで売りますが、そのようなドメインを見知らぬ誰かに漏洩した人物として歴史に残りたくありません。29

• 3,3%Microsoft が正しい決定を下せない場合、私はそれを永久に自分で葬るつもりです。28

• 21,2%私は特に、企業環境における Microsoft の評判を破壊することを条件に、ハッカーにドメインを販売します。 彼らは 1997 年からこの問題について知っていました!178

• 12,4%私は自分でボットネット + メール サーバーをセットアップし、世界の運命を決定し始めるでしょう。104

840 人のユーザーが投票しました。 131 ユーザーが棄権しました。

出所： habr.com