Esquema de vazamento de dados através de Web Proxy Auto-Discovery (WPAD) por colisão de nomes (neste caso, colisão de um domínio interno com o nome de um dos novos gTLDs, mas a essência é a mesma). Fonte: , 2016
Mike O'Connor, um dos investidores mais antigos em nomes de domínio, o lote mais perigoso e controverso de sua coleção: domínio corp.com por US$ 1,7 milhão. Em 1994, O'Connor comprou muitos nomes de domínio simples, como grill.com, place.com, pub.com e outros. Entre eles estava o corp.com, que Mike manteve por 26 anos. O investidor já tinha 70 anos e decidiu rentabilizar os seus antigos investimentos.
O problema é que corp.com é potencialmente perigoso para pelo menos 375 computadores corporativos devido à configuração descuidada do Active Directory durante a construção de intranets corporativas no início dos anos 000 baseadas no Windows Server 2000, quando a raiz interna era simplesmente especificada como “corp .” Até o início da década de 2010, isso não era um problema, mas com o surgimento dos laptops em ambientes empresariais, cada vez mais funcionários começaram a mover seus computadores de trabalho para fora da rede corporativa. Os recursos da implementação do Active Directory levam ao fato de que, mesmo sem uma solicitação direta do usuário para //corp, vários aplicativos (por exemplo, mail) acessam por conta própria um endereço familiar. Mas no caso de uma conexão externa à rede em um café convencional na esquina, isso leva a um fluxo de dados e solicitações chegando corp.com.
Agora O'Connor realmente espera que a própria Microsoft compre o domínio e, nas melhores tradições do Google, apodreça-o em algum lugar escuro e inacessível para estranhos, o problema com uma vulnerabilidade tão fundamental das redes Windows será resolvido.
Active Directory e colisão de nomes
As redes corporativas que executam o Windows usam o serviço de diretório do Active Directory. Ele permite que os administradores usem políticas de grupo para garantir a configuração uniforme do ambiente de trabalho do usuário, implantar software em vários computadores por meio de políticas de grupo, realizar autorização, etc.
O Active Directory é integrado ao DNS e executado sobre TCP/IP. Para procurar hosts na rede, o protocolo Web Proxy Auto-Discovery (WAPD) e a função (integrado no cliente DNS do Windows). Esse recurso facilita a localização de outros computadores ou servidores sem a necessidade de fornecer um nome de domínio totalmente qualificado.
Por exemplo, se uma empresa opera uma rede interna chamada internalnetwork.example.com, e o funcionário deseja acessar um drive compartilhado chamado drive1, não há necessidade de entrar drive1.internalnetwork.example.com no Explorer, basta digitar \drive1 - e o cliente DNS do Windows completará o nome sozinho.
Nas versões anteriores do Active Directory — por exemplo, Windows 2000 Server — o padrão para o domínio corporativo de segundo nível era corp. E muitas empresas mantiveram o padrão para seu domínio interno. Pior ainda, muitos começaram a construir vastas redes em cima desta configuração falha.
Na época dos computadores desktop, isso não era um grande problema de segurança porque ninguém levava esses computadores para fora da rede corporativa. Mas o que acontece quando um funcionário que trabalha em uma empresa com caminho de rede corp no Active Directory pega um laptop corporativo e vai para o Starbucks local? Em seguida, o protocolo Web Proxy Auto-Discovery (WPAD) e a função de devolução de nome DNS entram em vigor.
Há uma grande probabilidade de que alguns serviços do laptop continuem a bater no domínio interno corp, mas não o encontrará e, em vez disso, as solicitações serão resolvidas para o domínio corp.com da Internet aberta.
Na prática, isso significa que o proprietário do corp.com pode interceptar passivamente solicitações privadas de centenas de milhares de computadores que saem acidentalmente do ambiente corporativo usando a designação corp para o seu domínio no Active Directory.
Vazamento de solicitações WPAD no tráfego americano. De um estudo de 2016 da Universidade de Michigan,
Por que o domínio ainda não foi vendido?
Em 2014, os especialistas da ICANN publicaram colisões de nomes no DNS. O estudo foi financiado em parte pelo Departamento de Segurança Interna dos EUA porque as fugas de informação de redes internas ameaçam não apenas empresas comerciais, mas também organizações governamentais, incluindo o Serviço Secreto, agências de inteligência e ramos militares.
Mike queria vender o corp.com no ano passado, mas o pesquisador Jeff Schmidt o convenceu a adiar a venda com base no relatório mencionado. O estudo também descobriu que 375 mil computadores tentam entrar em contato com o corp.com todos os dias sem o conhecimento de seus proprietários. As solicitações continham tentativas de login em intranets corporativas, redes de acesso ou compartilhamentos de arquivos.
Como parte de seu próprio experimento, Schmidt, junto com a JAS Global, imitou no corp.com a forma como o Windows LAN processa arquivos e solicitações. Ao fazer isso, eles, de fato, abriram um portal para o inferno para qualquer especialista em segurança da informação:
Foi terrível. Interrompemos o experimento após 15 minutos e destruímos [todos os dados obtidos]. Um conhecido testador que aconselhou JAS sobre esta questão observou que o experimento foi como “uma chuva de informações confidenciais” e que ele nunca tinha visto nada parecido.
[Configuramos o recebimento de e-mails em corp.com] e depois de cerca de uma hora recebemos mais de 12 milhões de e-mails, após o que interrompemos o experimento. Embora a grande maioria dos e-mails tenha sido automatizada, descobrimos que alguns eram sensíveis [à segurança] e, portanto, destruímos todo o conjunto de dados sem análise adicional.
Schmidt acredita que administradores de todo o mundo vêm preparando, sem saber, a botnet mais perigosa da história há décadas. Centenas de milhares de computadores funcionais em todo o mundo estão prontos não apenas para se tornarem parte de uma botnet, mas também para fornecer dados confidenciais sobre seus proprietários e empresas. Tudo que você precisa fazer para tirar vantagem disso é control corp.com. Neste caso, qualquer máquina que já esteja conectada à rede corporativa, cujo Active Directory foi configurado via //corp, passa a fazer parte da botnet.
A Microsoft desistiu do problema há 25 anos
Se você acha que a MS de alguma forma não tinha conhecimento da bacanal em andamento em torno do corp.com, então você está seriamente enganado. Esta é a página que os usuários da versão beta do FrontPage '97 acessaram, com corp.com listado como URL padrão:
Quando Mike se cansou disso, o corp.com começou a redirecionar os usuários para o site da sex shop. Em resposta, ele recebeu milhares de cartas iradas de usuários, que redirecionou via cópia para Bill Gates.
Aliás, o próprio Mike, por curiosidade, configurou um servidor de e-mail e recebeu cartas confidenciais no corp.com. Ele mesmo tentou resolver esses problemas entrando em contato com empresas, mas elas simplesmente não sabiam como corrigir a situação:
Imediatamente, comecei a receber e-mails confidenciais, incluindo versões preliminares de relatórios financeiros corporativos para a Comissão de Valores Mobiliários dos EUA, relatórios de recursos humanos e outras coisas assustadoras. Tentei me corresponder com empresas por um tempo, mas a maioria delas não sabia o que fazer com isso. Então, finalmente desliguei [o servidor de e-mail].
A MS não tomou nenhuma medida ativa e a empresa se recusa a comentar a situação. Sim, a Microsoft lançou várias atualizações do Active Directory ao longo dos anos que resolvem parcialmente o problema de colisão de nomes de domínio, mas elas apresentam vários problemas. A empresa também produziu recomendações sobre como configurar nomes de domínio internos, recomendações sobre como possuir um domínio de segundo nível para evitar conflitos e outros tutoriais que normalmente não são lidos.
Mas o mais importante está nas atualizações. Primeiro: para aplicá-los é preciso desligar completamente a intranet da empresa. Segundo: após essas atualizações, alguns aplicativos podem começar a funcionar mais lentamente, de forma incorreta ou parar de funcionar completamente. É evidente que a maioria das empresas com uma rede corporativa construída não assumirá tais riscos no curto prazo. Além disso, muitos deles nem percebem a escala total da ameaça que envolve o redirecionamento de tudo para corp.com quando a máquina é levada para fora da rede interna.
A ironia máxima é alcançada quando você vê . Então, de acordo com seus dados, algumas solicitações para corp.com vêm da própria intranet da Microsoft.
E o que vai acontecer a seguir?
Parece que a solução para esta situação está na superfície e foi descrita no início do artigo: deixe a Microsoft comprar dele o domínio de Mike e bani-lo para sempre em algum lugar de um armário remoto.
Mas não é tão simples. A Microsoft ofereceu a O'Connor a compra de seu domínio tóxico para empresas de todo o mundo há vários anos. Isso é apenas A gigante ofereceu apenas US$ 20 mil para fechar tal buraco em suas próprias redes.
Agora o domínio é oferecido por US$ 1,7 milhão. E mesmo que a Microsoft decida comprá-lo no último momento, será que eles terão tempo?
Apenas usuários registrados podem participar da pesquisa. por favor
O que você faria se fosse O'Connor?
-
59,6%Deixe a Microsoft comprar o domínio por US$ 1,7 milhão ou deixe outra pessoa comprá-lo.501
-
3,4%Eu o venderia por US$ 20 mil; não quero entrar para a história como a pessoa que vazou tal domínio para alguém desconhecido.29
-
3,3%Eu mesmo enterraria isso para sempre se a Microsoft não pudesse tomar a decisão certa.28
-
21,2%Eu venderia especificamente o domínio para hackers, com a condição de que eles destruíssem a reputação da Microsoft no ambiente corporativo. Eles sabem do problema desde 1997!178
-
12,4%Eu mesmo configuraria um botnet + servidor de e-mail e começaria a decidir o destino do mundo.104
840 usuários votaram. 131 usuário se absteve.
Fonte: habr.com