Schema van datalekken via Web Proxy Auto-Discovery (WPAD) als gevolg van naambotsing (in dit geval een botsing van een intern domein met de naam van een van de nieuwe gTLD's, maar de essentie is hetzelfde). Bron:
Mike O'Connor, een van de oudste investeerders in domeinnamen,
Het probleem is dat corp.com potentieel gevaarlijk is voor minstens 375 bedrijfscomputers als gevolg van de onzorgvuldige configuratie van Active Directory tijdens de bouw van bedrijfsintranetten begin jaren 000 op basis van Windows Server 2000, toen de interne root eenvoudigweg werd gespecificeerd als “corp .” Tot begin 2010 was dit geen probleem, maar met de opkomst van laptops in zakelijke omgevingen begonnen steeds meer werknemers hun werkcomputers buiten het bedrijfsnetwerk te verplaatsen. Kenmerken van de Active Directory-implementatie leiden ertoe dat zelfs zonder een direct gebruikersverzoek aan //corp een aantal applicaties (bijvoorbeeld mail) zelfstandig op een bekend adres aankloppen. Maar in het geval van een externe verbinding met het netwerk in een conventioneel café om de hoek leidt dit tot een stroom aan gegevens en verzoeken die binnenstromen corporatie.com.
Nu O'Connor echt hoopt dat Microsoft zelf het domein zal kopen en, in de beste tradities van Google, het op een donkere en ontoegankelijke plek voor buitenstaanders zal laten rotten, zal het probleem met zo'n fundamentele kwetsbaarheid van Windows-netwerken worden opgelost.
Conflict tussen Active Directory en naam
Bedrijfsnetwerken met Windows gebruiken de Active Directory-directoryservice. Hiermee kunnen beheerders groepsbeleid gebruiken om een uniforme configuratie van de werkomgeving van de gebruiker te garanderen, software op meerdere computers implementeren via groepsbeleid, autorisatie uitvoeren, enz.
Active Directory is geïntegreerd met DNS en draait bovenop TCP/IP. Om te zoeken naar hosts binnen het netwerk, het Web Proxy Auto-Discovery (WAPD) protocol en de functie
Als een bedrijf bijvoorbeeld een intern netwerk exploiteert met de naam internalnetwork.example.com
en de medewerker wil toegang krijgen tot een gedeelde Drive genaamd drive1
, invoeren is niet nodig drive1.internalnetwork.example.com
in Explorer typt u gewoon \drive1 - en de Windows DNS-client zal de naam zelf aanvullen.
In eerdere versies van Active Directory, bijvoorbeeld Windows 2000 Server, was de standaardwaarde voor het tweede niveau bedrijfsdomein corp
. En veel bedrijven hebben de standaardwaarde voor hun interne domein behouden. Erger nog, velen zijn begonnen met het bouwen van enorme netwerken bovenop deze gebrekkige opzet.
In de tijd van desktopcomputers was dit niet echt een beveiligingsprobleem, omdat niemand deze computers buiten het bedrijfsnetwerk bracht. Maar wat gebeurt er als een werknemer in een bedrijf werkt met een netwerkpad corp
in Active Directory een zakelijke laptop meeneemt en naar de plaatselijke Starbucks gaat? Vervolgens treden het Web Proxy Auto-Discovery (WPAD)-protocol en de DNS-naamoverdrachtsfunctie in werking.
De kans is groot dat sommige services op de laptop op het interne domein blijven kloppen corp
, maar zal het niet vinden, en in plaats daarvan zullen verzoeken worden omgezet naar het corp.com-domein vanaf het open internet.
In de praktijk betekent dit dat de eigenaar van corp.com passief privéverzoeken kan onderscheppen van honderdduizenden computers die per ongeluk de bedrijfsomgeving verlaten onder de aanduiding corp
voor uw domein in Active Directory.
Lekkage van WPAD-verzoeken in Amerikaans verkeer. Uit een onderzoek van de Universiteit van Michigan uit 2016 blijkt
Waarom is het domein nog niet verkocht?
In 2014 publiceerden ICANN-experts
Mike wilde vorig jaar corp.com verkopen, maar onderzoeker Jeff Schmidt overtuigde hem op basis van bovengenoemd rapport om de verkoop uit te stellen. Uit het onderzoek bleek ook dat 375 computers elke dag contact proberen te maken met corp.com zonder medeweten van de eigenaar. De verzoeken omvatten pogingen om in te loggen op bedrijfsintranetten, toegang te krijgen tot netwerken of bestandsshares.
Als onderdeel van zijn eigen experiment imiteerde Schmidt, samen met JAS Global, op corp.com de manier waarop Windows LAN bestanden en verzoeken verwerkt. Door dit te doen openden ze in feite een poort naar de hel voor elke informatiebeveiligingsspecialist:
Het was verschrikkelijk. We stopten het experiment na 15 minuten en vernietigden [alle verkregen] gegevens. Een bekende tester die JAS hierover adviseerde, merkte op dat het experiment een "regen van vertrouwelijke informatie" was en dat hij nog nooit zoiets had gezien.
[We hebben mailontvangst ingesteld op corp.com] en na ongeveer een uur ontvingen we meer dan 12 miljoen e-mails, waarna we het experiment stopten. Hoewel de overgrote meerderheid van de e-mails geautomatiseerd was, ontdekten we dat sommige [beveiligings]gevoelig waren en daarom hebben we de volledige dataset zonder verdere analyse vernietigd.
Schmidt is van mening dat beheerders over de hele wereld al tientallen jaren onbewust het gevaarlijkste botnet uit de geschiedenis voorbereiden. Honderdduizenden volwaardige werkende computers over de hele wereld zijn niet alleen klaar om onderdeel te worden van een botnet, maar ook om vertrouwelijke gegevens over hun eigenaren en bedrijven te verstrekken. Het enige dat u hoeft te doen om hiervan te profiteren, is controle over corp.com. In dit geval wordt elke machine die ooit is verbonden met het bedrijfsnetwerk en waarvan de Active Directory is geconfigureerd via //corp, onderdeel van het botnet.
Microsoft heeft het probleem 25 jaar geleden opgegeven
Als u denkt dat MS zich op de een of andere manier niet bewust was van de voortdurende bacchanalia rond corp.com, dan vergist u zich ernstig.
Toen Mike hier echt genoeg van kreeg, begon corp.com gebruikers door te verwijzen naar de website van de seksshop. Als reactie hierop ontving hij duizenden boze brieven van gebruikers, die hij via een kopie doorstuurde naar Bill Gates.
Mike heeft trouwens zelf uit nieuwsgierigheid een mailserver opgezet en vertrouwelijke brieven ontvangen op corp.com. Hij probeerde deze problemen zelf op te lossen door contact op te nemen met bedrijven, maar ze wisten simpelweg niet hoe ze de situatie moesten corrigeren:
Onmiddellijk begon ik vertrouwelijke e-mails te ontvangen, waaronder voorlopige versies van financiële bedrijfsrapporten aan de Amerikaanse Securities and Exchange Commission, HR-rapporten en andere enge dingen. Ik heb een tijdje geprobeerd met bedrijven te corresponderen, maar de meesten wisten niet wat ze ermee aan moesten. Dus uiteindelijk heb ik [de mailserver] gewoon uitgeschakeld.
MS heeft geen enkele actieve actie ondernomen en het bedrijf weigert commentaar te geven op de situatie. Ja, Microsoft heeft in de loop der jaren verschillende Active Directory-updates uitgebracht die het conflict tussen domeinnamen gedeeltelijk oplossen, maar er zijn wel een aantal problemen. Het bedrijf produceerde ook aanbevelingen over het opzetten van interne domeinnamen, aanbevelingen over het bezitten van een domein op het tweede niveau om conflicten te voorkomen, en andere tutorials die meestal niet worden gelezen.
Maar het belangrijkste ligt in de updates. Ten eerste: om ze toe te passen, moet u het intranet van het bedrijf volledig neerleggen. Ten tweede: na dergelijke updates kunnen sommige applicaties langzamer of onjuist gaan werken of helemaal niet meer werken. Het is duidelijk dat de meeste bedrijven met een opgebouwd bedrijfsnetwerk dergelijke risico's op korte termijn niet zullen nemen. Bovendien realiseren velen van hen zich niet eens de volledige omvang van de dreiging die gepaard gaat met het omleiden van alles naar corp.com wanneer de machine buiten het interne netwerk wordt gebracht.
Maximale ironie wordt bereikt als je kijkt
En wat zal er daarna gebeuren?
Het lijkt erop dat de oplossing voor deze situatie aan de oppervlakte ligt en aan het begin van het artikel werd beschreven: laat Microsoft het domein van Mike van hem kopen en hem voor altijd ergens in een afgelegen kast verbannen.
Maar zo eenvoudig is het niet. Microsoft bood O'Connor enkele jaren geleden aan om zijn giftige domein uit te kopen voor bedrijven over de hele wereld. Dat is gewoon De gigant bood slechts 20 dollar voor het dichten van een dergelijk gat in zijn eigen netwerken.
Nu wordt het domein aangeboden voor 1,7 miljoen dollar, en zelfs als Microsoft op het laatste moment besluit het te kopen, zullen ze dan nog tijd hebben?
Alleen geregistreerde gebruikers kunnen deelnemen aan het onderzoek.
Wat zou jij doen als je O'Connor was?
-
59,6%Laat Microsoft het domein kopen voor $1,7 miljoen, of laat iemand anders het kopen.501
-
3,4%Ik zou het voor 20 dollar verkopen; ik wil niet de geschiedenis ingaan als de persoon die zo’n domein heeft gelekt aan een onbekende.29
-
3,3%Ik zou het zelf voor altijd begraven als Microsoft niet de juiste beslissing kan nemen.28
-
21,2%Ik zou het domein specifiek aan hackers verkopen, op voorwaarde dat zij de reputatie van Microsoft in de bedrijfsomgeving vernietigen. Zij kennen het probleem al sinds 1997!178
-
12,4%Ik zou zelf een botnet + mailserver opzetten en beginnen te beslissen over het lot van de wereld.104
840 gebruikers hebben gestemd. 131 gebruiker onthield zich van stemming.
Bron: www.habr.com