ProHoster > Het domein corp.com staat te koop. Het is gevaarlijk voor honderdduizenden bedrijfscomputers met Windows

Het domein corp.com staat te koop. Het is gevaarlijk voor honderdduizenden bedrijfscomputers met Windows

Het domein corp.com staat te koop. Het is gevaarlijk voor honderdduizenden bedrijfscomputers met Windows
Schema van datalekken via Web Proxy Auto-Discovery (WPAD) als gevolg van naambotsing (in dit geval een botsing van een intern domein met de naam van een van de nieuwe gTLD's, maar de essentie is hetzelfde). Bron: Studie van de Universiteit van Michigan, 2016

Mike O'Connor, een van de oudste investeerders in domeinnamen, te koop stelt het gevaarlijkste en meest controversiële kavel in zijn collectie: domein corporatie.com voor $ 1,7 miljoen. In 1994 kocht O'Connor veel eenvoudige domeinnamen, zoals grill.com, place.com, pub.com en andere. Onder hen was corp.com, dat Mike 26 jaar lang heeft beheerd. De investeerder was al 70 jaar oud en besloot zijn oude beleggingen te gelde te maken.

Het probleem is dat corp.com potentieel gevaarlijk is voor minstens 375 bedrijfscomputers als gevolg van de onzorgvuldige configuratie van Active Directory tijdens de bouw van bedrijfsintranetten begin jaren 000 op basis van Windows Server 2000, toen de interne root eenvoudigweg werd gespecificeerd als “corp .” Tot begin 2010 was dit geen probleem, maar met de opkomst van laptops in zakelijke omgevingen begonnen steeds meer werknemers hun werkcomputers buiten het bedrijfsnetwerk te verplaatsen. Kenmerken van de Active Directory-implementatie leiden ertoe dat zelfs zonder een direct gebruikersverzoek aan //corp een aantal applicaties (bijvoorbeeld mail) zelfstandig op een bekend adres aankloppen. Maar in het geval van een externe verbinding met het netwerk in een conventioneel café om de hoek leidt dit tot een stroom aan gegevens en verzoeken die binnenstromen corporatie.com.

Nu O'Connor echt hoopt dat Microsoft zelf het domein zal kopen en, in de beste tradities van Google, het op een donkere en ontoegankelijke plek voor buitenstaanders zal laten rotten, zal het probleem met zo'n fundamentele kwetsbaarheid van Windows-netwerken worden opgelost.

Conflict tussen Active Directory en naam

Bedrijfsnetwerken met Windows gebruiken de Active Directory-directoryservice. Hiermee kunnen beheerders groepsbeleid gebruiken om een ​​uniforme configuratie van de werkomgeving van de gebruiker te garanderen, software op meerdere computers implementeren via groepsbeleid, autorisatie uitvoeren, enz.

Active Directory is geïntegreerd met DNS en draait bovenop TCP/IP. Om te zoeken naar hosts binnen het netwerk, het Web Proxy Auto-Discovery (WAPD) protocol en de functie DNS-naamdevolutie (ingebouwd in Windows DNS Client). Deze functie maakt het gemakkelijk om andere computers of servers te vinden zonder dat u een volledig gekwalificeerde domeinnaam hoeft op te geven.

Als een bedrijf bijvoorbeeld een intern netwerk exploiteert met de naam internalnetwork.example.comen de medewerker wil toegang krijgen tot een gedeelde Drive genaamd drive1, invoeren is niet nodig drive1.internalnetwork.example.com in Explorer typt u gewoon \drive1 - en de Windows DNS-client zal de naam zelf aanvullen.

In eerdere versies van Active Directory, bijvoorbeeld Windows 2000 Server, was de standaardwaarde voor het tweede niveau bedrijfsdomein corp. En veel bedrijven hebben de standaardwaarde voor hun interne domein behouden. Erger nog, velen zijn begonnen met het bouwen van enorme netwerken bovenop deze gebrekkige opzet.

In de tijd van desktopcomputers was dit niet echt een beveiligingsprobleem, omdat niemand deze computers buiten het bedrijfsnetwerk bracht. Maar wat gebeurt er als een werknemer in een bedrijf werkt met een netwerkpad corp in Active Directory een zakelijke laptop meeneemt en naar de plaatselijke Starbucks gaat? Vervolgens treden het Web Proxy Auto-Discovery (WPAD)-protocol en de DNS-naamoverdrachtsfunctie in werking.

Het domein corp.com staat te koop. Het is gevaarlijk voor honderdduizenden bedrijfscomputers met Windows

De kans is groot dat sommige services op de laptop op het interne domein blijven kloppen corp, maar zal het niet vinden, en in plaats daarvan zullen verzoeken worden omgezet naar het corp.com-domein vanaf het open internet.

In de praktijk betekent dit dat de eigenaar van corp.com passief privéverzoeken kan onderscheppen van honderdduizenden computers die per ongeluk de bedrijfsomgeving verlaten onder de aanduiding corp voor uw domein in Active Directory.

Het domein corp.com staat te koop. Het is gevaarlijk voor honderdduizenden bedrijfscomputers met Windows
Lekkage van WPAD-verzoeken in Amerikaans verkeer. Uit een onderzoek van de Universiteit van Michigan uit 2016 blijkt bron

Waarom is het domein nog niet verkocht?

In 2014 publiceerden ICANN-experts geweldige studie naambotsingen in DNS. Het onderzoek werd gedeeltelijk gefinancierd door het Amerikaanse ministerie van Binnenlandse Veiligheid omdat informatielekken uit interne netwerken niet alleen commerciële bedrijven bedreigen, maar ook overheidsorganisaties, waaronder de geheime dienst, inlichtingendiensten en militaire afdelingen.

Mike wilde vorig jaar corp.com verkopen, maar onderzoeker Jeff Schmidt overtuigde hem op basis van bovengenoemd rapport om de verkoop uit te stellen. Uit het onderzoek bleek ook dat 375 computers elke dag contact proberen te maken met corp.com zonder medeweten van de eigenaar. De verzoeken omvatten pogingen om in te loggen op bedrijfsintranetten, toegang te krijgen tot netwerken of bestandsshares.

Als onderdeel van zijn eigen experiment imiteerde Schmidt, samen met JAS Global, op corp.com de manier waarop Windows LAN bestanden en verzoeken verwerkt. Door dit te doen openden ze in feite een poort naar de hel voor elke informatiebeveiligingsspecialist:

Het was verschrikkelijk. We stopten het experiment na 15 minuten en vernietigden [alle verkregen] gegevens. Een bekende tester die JAS hierover adviseerde, merkte op dat het experiment een "regen van vertrouwelijke informatie" was en dat hij nog nooit zoiets had gezien.

[We hebben mailontvangst ingesteld op corp.com] en na ongeveer een uur ontvingen we meer dan 12 miljoen e-mails, waarna we het experiment stopten. Hoewel de overgrote meerderheid van de e-mails geautomatiseerd was, ontdekten we dat sommige [beveiligings]gevoelig waren en daarom hebben we de volledige dataset zonder verdere analyse vernietigd.

Schmidt is van mening dat beheerders over de hele wereld al tientallen jaren onbewust het gevaarlijkste botnet uit de geschiedenis voorbereiden. Honderdduizenden volwaardige werkende computers over de hele wereld zijn niet alleen klaar om onderdeel te worden van een botnet, maar ook om vertrouwelijke gegevens over hun eigenaren en bedrijven te verstrekken. Het enige dat u hoeft te doen om hiervan te profiteren, is controle over corp.com. In dit geval wordt elke machine die ooit is verbonden met het bedrijfsnetwerk en waarvan de Active Directory is geconfigureerd via //corp, onderdeel van het botnet.

Microsoft heeft het probleem 25 jaar geleden opgegeven

Als u denkt dat MS zich op de een of andere manier niet bewust was van de voortdurende bacchanalia rond corp.com, dan vergist u zich ernstig. Mike belaagde Microsoft en Bill Gates persoonlijk in 1997Dit is de pagina waar gebruikers van de bètaversie van FrontPage '97 op terechtkwamen, met corp.com vermeld als de standaard-URL:

Het domein corp.com staat te koop. Het is gevaarlijk voor honderdduizenden bedrijfscomputers met Windows

Toen Mike hier echt genoeg van kreeg, begon corp.com gebruikers door te verwijzen naar de website van de seksshop. Als reactie hierop ontving hij duizenden boze brieven van gebruikers, die hij via een kopie doorstuurde naar Bill Gates.

Mike heeft trouwens zelf uit nieuwsgierigheid een mailserver opgezet en vertrouwelijke brieven ontvangen op corp.com. Hij probeerde deze problemen zelf op te lossen door contact op te nemen met bedrijven, maar ze wisten simpelweg niet hoe ze de situatie moesten corrigeren:

Onmiddellijk begon ik vertrouwelijke e-mails te ontvangen, waaronder voorlopige versies van financiële bedrijfsrapporten aan de Amerikaanse Securities and Exchange Commission, HR-rapporten en andere enge dingen. Ik heb een tijdje geprobeerd met bedrijven te corresponderen, maar de meesten wisten niet wat ze ermee aan moesten. Dus uiteindelijk heb ik [de mailserver] gewoon uitgeschakeld.

MS heeft geen enkele actieve actie ondernomen en het bedrijf weigert commentaar te geven op de situatie. Ja, Microsoft heeft in de loop der jaren verschillende Active Directory-updates uitgebracht die het conflict tussen domeinnamen gedeeltelijk oplossen, maar er zijn wel een aantal problemen. Het bedrijf produceerde ook aanbevelingen over het opzetten van interne domeinnamen, aanbevelingen over het bezitten van een domein op het tweede niveau om conflicten te voorkomen, en andere tutorials die meestal niet worden gelezen.

Maar het belangrijkste ligt in de updates. Ten eerste: om ze toe te passen, moet u het intranet van het bedrijf volledig neerleggen. Ten tweede: na dergelijke updates kunnen sommige applicaties langzamer of onjuist gaan werken of helemaal niet meer werken. Het is duidelijk dat de meeste bedrijven met een opgebouwd bedrijfsnetwerk dergelijke risico's op korte termijn niet zullen nemen. Bovendien realiseren velen van hen zich niet eens de volledige omvang van de dreiging die gepaard gaat met het omleiden van alles naar corp.com wanneer de machine buiten het interne netwerk wordt gebracht.

Maximale ironie wordt bereikt als je kijkt Schmidt-domeinnaambotsingsonderzoeksrapport. Dus volgens zijn gegevens sommige verzoeken aan corp.com komen van het eigen intranet van Microsoft.

Het domein corp.com staat te koop. Het is gevaarlijk voor honderdduizenden bedrijfscomputers met Windows

En wat zal er daarna gebeuren?

Het lijkt erop dat de oplossing voor deze situatie aan de oppervlakte ligt en aan het begin van het artikel werd beschreven: laat Microsoft het domein van Mike van hem kopen en hem voor altijd ergens in een afgelegen kast verbannen.

Maar zo eenvoudig is het niet. Microsoft bood O'Connor enkele jaren geleden aan om zijn giftige domein uit te kopen voor bedrijven over de hele wereld. Dat is gewoon De gigant bood slechts 20 dollar voor het dichten van een dergelijk gat in zijn eigen netwerken.

Nu wordt het domein aangeboden voor 1,7 miljoen dollar, en zelfs als Microsoft op het laatste moment besluit het te kopen, zullen ze dan nog tijd hebben?

Het domein corp.com staat te koop. Het is gevaarlijk voor honderdduizenden bedrijfscomputers met Windows

Alleen geregistreerde gebruikers kunnen deelnemen aan het onderzoek. Inloggen, Alsjeblieft.

Wat zou jij doen als je O'Connor was?

  • 59,6%Laat Microsoft het domein kopen voor $1,7 miljoen, of laat iemand anders het kopen.501

  • 3,4%Ik zou het voor 20 dollar verkopen; ik wil niet de geschiedenis ingaan als de persoon die zo’n domein heeft gelekt aan een onbekende.29

  • 3,3%Ik zou het zelf voor altijd begraven als Microsoft niet de juiste beslissing kan nemen.28

  • 21,2%Ik zou het domein specifiek aan hackers verkopen, op voorwaarde dat zij de reputatie van Microsoft in de bedrijfsomgeving vernietigen. Zij kennen het probleem al sinds 1997!178

  • 12,4%Ik zou zelf een botnet + mailserver opzetten en beginnen te beslissen over het lot van de wereld.104

840 gebruikers hebben gestemd. 131 gebruiker onthield zich van stemming.

Bron: www.habr.com

Voeg een reactie