Get best of the week

El dominio corp.com está a la venta. Es peligroso para cientos de miles de computadoras corporativas que ejecutan Windows


Esquema de fuga de datos a través de Web Proxy Auto-Discovery (WPAD) en caso de colisión de nombres (en este caso, la colisión del dominio interno con el nombre de uno de los nuevos gTLD, pero la esencia es la misma). Fuente: estudio de la Universidad de Michigan , 2016.

Mike O'Connor, uno de los inversores de nombres de dominio más antiguos, presenta el lote más peligroso y controvertido de su colección: el dominio corp.com por $ 1.7 millones. En 1994, O'Connor compró muchos simples. nombres de dominio como grill.com, place.com, pub.com y otros. Entre ellos estaba corp.com, que Mike mantuvo durante 26 años. El inversor ya tiene 70 años y decidió monetizar sus inversiones de larga data.

Todo el problema es que corp.com es potencialmente peligroso para al menos 375,000 computadoras corporativas debido a la configuración descuidada de Active Directory durante la construcción de intranets corporativas a principios de la década de 2000 basadas en Windows Server 2000, cuando la raíz interna simplemente se indicaba como "corp". Hasta principios de la década de 2010, esto no era un problema, pero con el creciente número de computadoras portátiles en el entorno empresarial, cada vez más empleados comenzaron a mover sus computadoras de trabajo fuera de la red corporativa. Las características de la implementación de Active Directory conducen al hecho de que, incluso sin una solicitud directa del usuario para // corp, varias aplicaciones (por ejemplo, correo) tocan una dirección familiar por su cuenta. Pero en el caso de una conexión de red externa en un café condicional a la vuelta de la esquina, esto lleva al hecho de que el flujo de datos y solicitudes fluye a corp.com .

Ahora O'Connor realmente espera que Microsoft mismo compre el dominio y, según las mejores tradiciones de Google, lo pudra en algún lugar en un lugar oscuro e inaccesible para los extraños, se resolverá el problema con una vulnerabilidad tan fundamental de las redes de Windows.

Active Directory y colisión de nombres


En las redes empresariales, Windows usa el servicio de directorio Active Directory. Permite a los administradores utilizar políticas grupales para garantizar una personalización uniforme del entorno de trabajo del usuario, implementar software en varias computadoras mediante políticas grupales, realizar autorizaciones, etc.

Active Directory está integrado con DNS y se ejecuta sobre TCP / IP. Para buscar nodos dentro de la red, el protocolo utiliza el protocolo de descubrimiento automático de proxy web (WAPD) y la función de devolución de nombres DNS (integrada en el cliente DNS de Windows). Esta característica facilita la búsqueda de otras computadoras o servidores sin tener que especificar un nombre de dominio completo.

Por ejemplo, si una empresa administra una red interna llamadainternalnetwork.example.com, y el empleado desea acceder a la unidad compartida con el nombre drive1, no es necesario ingresar drive1.internalnetwork.example.comen el Explorador, simplemente escriba \\ unidad1 \ - y el cliente DNS de Windows agregará el nombre.

En versiones anteriores de Active Directory, por ejemplo, en Windows 2000 Server, el segundo nivel del dominio corporativo se especificaba de forma predeterminada corp. Y muchas compañías han mantenido el valor predeterminado para su dominio interno. Peor aún, muchos han comenzado a construir vastas redes sobre esta configuración errónea.

En los días de las computadoras de escritorio, esto no presentaba un problema de seguridad particular, porque nadie sacaba estas computadoras de la red corporativa. Pero, ¿qué sucede cuando un empleado que trabaja en una empresa con una ruta de red?corpen Active Directory toma una computadora portátil corporativa y va al Starbucks local? Luego, el protocolo proxy de descubrimiento automático de proxy web (WPAD) y la función de devolución de nombre DNS entran en vigencia.



Es probable que algunos servicios en la computadora portátil continúen afectando al dominio interno corp, pero no lo encontrarán y, en cambio, las solicitudes se resolverán en el dominio corp.com desde Internet abierto.

En la práctica, esto significa que el propietario de corp.com puede interceptar pasivamente solicitudes privadas de cientos de miles de computadoras que accidentalmente van más allá del entorno corporativo utilizando la designación corpde su dominio en Active Directory.


Fuga de solicitudes de WPAD en el tráfico estadounidense. De un estudio realizado por la Universidad de Michigan en 2016, fuente

¿Por qué el dominio aún no se vende?


En 2014, los expertos de ICANN publicaron un gran estudio sobre las colisiones de nombres DNS. El estudio fue parcialmente financiado por el Departamento de Seguridad Nacional de los EE. UU. Porque las filtraciones de las redes internas amenazan no solo a las empresas comerciales, sino también a las organizaciones gubernamentales, incluidos los servicios secretos, las agencias de inteligencia y las unidades del ejército.

Mike quería vender corp.com el año pasado, pero el investigador Jeff Schmidt lo convenció de posponer la venta basándose solo en el informe anterior. El estudio también encontró que diariamente 375,000 computadoras están tratando de contactar a corp.com sin el conocimiento de los propietarios. Las solicitudes contenían intentos de ingresar a intranets corporativas y obtener acceso a redes o recursos de archivos.

Como parte de su propio experimento, Schmidt, junto con JAS Global, imitó en corp.com un método de procesamiento de archivos y solicitudes que utiliza una red local de Windows. Con esto, de hecho, abrieron un portal al infierno para cualquier especialista en seguridad de la información:

. 15 [ ] . , JAS , , « », .

[ corp.com] 12 , . , , [ ] .

Schmidt cree que durante décadas, los administradores de todo el mundo han estado preparando la botnet más peligrosa de la historia. Cientos de miles de computadoras en funcionamiento en todo el mundo están listas no solo para formar parte de la botnet, sino también para proporcionar datos confidenciales sobre sus propietarios y empresas. Todo lo que necesita para usarlo es controlar corp.com. En este caso, cualquier máquina que alguna vez esté conectada a la red corporativa, cuyo Active Directory se configuró a través de // corp, se convierte en parte de la botnet.

Microsoft "anotó" el problema hace 25 años


Si crees que la EM parece no ser consciente de la bacanal en curso en corp.com, estás muy equivocado. Mike controló a Microsoft y personalmente a Bill Gates en 1997 con una página que llevó a los usuarios de la versión beta de FrontPage '97 a corp.com como la URL predeterminada: cuando Mike se cansó de ello, corp.com comenzó a redirigir a los usuarios al sitio de sex shop. En respuesta, recibió miles de cartas de enojo de los usuarios, que redirigió mediante una copia a Bill Gates. Por cierto, el propio Mike, por curiosidad, levantó el servidor de correo y recibió cartas confidenciales en corp.com. Trató de resolver estos problemas contactando a las empresas, pero simplemente no sabían cómo solucionar la situación:







, , . , , . , , [ ].

Del lado de la EM, no se tomaron acciones activas, y la compañía se niega a comentar sobre la situación. Sí, Microsoft a lo largo de los años ha lanzado varias actualizaciones de Active Directory que resuelven parcialmente el problema de las colisiones de nombres de dominio, pero tienen una serie de problemas. La compañía también emitió recomendaciones sobre la configuración de nombres de dominio internos, recomendaciones sobre la propiedad de un dominio de segundo nivel para evitar conflictos y otros tutoriales que generalmente no leen.

Pero lo más importante está en las actualizaciones. Primero: para aplicarlos, debe colocar completamente la intranet de la empresa. Segundo: algunas aplicaciones después de dichas actualizaciones pueden comenzar a funcionar de manera más lenta, incorrecta o dejar de funcionar por completo. Está claro que la mayoría de las empresas con una red corporativa bien establecida no asumirá tales riesgos. Además, muchos de ellos ni siquiera se dan cuenta del alcance total de la amenaza que conlleva una redirección de todo y de todo en corp.com cuando se mueve una máquina fuera de la red interna.

La máxima ironía se logra cuando mira el informe de Schmidt sobre la investigación de conflictos de nombres de dominio . Entonces, según sus datos, algunas solicitudes a corp.com provienen de la intranet de Microsoft.



¿Y qué pasará después?


Parece que la solución a esta situación se encuentra en la superficie y se describió al comienzo del artículo: deje que Microsoft compre su dominio a Mike y lo prohíba en algún lugar del fondo del armario para siempre.

Pero no tan simple. Microsoft estaba ofreciendo a O'Connor comprar su dominio tóxico para empresas de todo el mundo hace unos años. Acabo de ofrecerle al gigante cerrar ese agujero en sus propias redes de solo $ 20 mil .

Ahora el dominio se factura por $ 1.7 millones. E incluso si Microsoft decide comprarlo en el último momento, ¿llegará a tiempo?


More articles:


All Articles