Get best of the week

Le domaine corp.com est en vente. Il est dangereux pour des centaines de milliers d'ordinateurs d'entreprise exécutant Windows


Schéma de fuite de données via Web Proxy Auto-Discovery (WPAD) en cas de collision de noms (dans ce cas, la collision du domaine interne avec le nom de l'un des nouveaux gTLD, mais l'essence est la même). Source: étude de l'Université du Michigan , 2016.

Mike O'Connor, l'un des plus anciens investisseurs en noms de domaine, propose le lot le plus dangereux et le plus controversé de sa collection: le domaine corp.com pour 1,7 million de dollars. En 1994, O'Connor en a acheté beaucoup de simples. des noms de domaine tels que grill.com, place.com, pub.com et autres. Parmi eux se trouvait corp.com, que Mike a conservé pendant 26 ans. L'investisseur a déjà 70 ans et il a décidé de monétiser ses investissements de longue date.

Tout le problème est que corp.com est potentiellement dangereux pour au moins 375 000 ordinateurs d'entreprise en raison de la configuration imprudente d'Active Directory lors de la construction des intranets d'entreprise au début des années 2000 basés sur Windows Server 2000, lorsque la racine interne était simplement indiquée comme «corp». Jusqu'au début des années 2010, ce n'était pas un problème, mais avec le nombre croissant d'ordinateurs portables dans l'environnement professionnel, de plus en plus d'employés ont commencé à déplacer leurs ordinateurs de travail en dehors du réseau d'entreprise. Les fonctionnalités de l'implémentation d'Active Directory conduisent au fait que même sans une demande directe de l'utilisateur à // corp, un certain nombre d'applications (par exemple, le courrier) frappent à une adresse familière par elles-mêmes. Mais dans le cas d'une connexion réseau externe dans un café conditionnel au coin de la rue, cela conduit au fait que le flux de données et de requêtes circule vers corp.com .

Maintenant, O'Connor espère vraiment que Microsoft achètera le domaine lui-même et, dans les meilleures traditions de Google, le fera pourrir quelque part dans un endroit sombre et inaccessible pour les étrangers, le problème d'une vulnérabilité aussi fondamentale des réseaux Windows sera résolu.

Active Directory et collision de noms


Sur les réseaux d'entreprise, Windows utilise le service d'annuaire Active Directory. Il permet aux administrateurs d'utiliser des stratégies de groupe pour garantir une personnalisation uniforme de l'environnement de travail des utilisateurs, déployer des logiciels sur plusieurs ordinateurs via des stratégies de groupe, effectuer une autorisation, etc.

Active Directory est intégré à DNS et s'exécute au-dessus de TCP / IP. Pour rechercher des nœuds dans le réseau, le protocole utilise le protocole WAPD (Web Proxy Auto-Discovery) et la fonction de dévolution de nom DNS (intégrée au client DNS Windows). Cette fonctionnalité facilite la recherche d'autres ordinateurs ou serveurs sans avoir à spécifier un nom de domaine complet.

Par exemple, si une entreprise gère un réseau interne nomméinternalnetwork.example.com, et l'employé souhaite accéder au lecteur partagé sous le nom drive1, il n'est pas nécessaire d'entrer drive1.internalnetwork.example.comdans l'Explorateur, il suffit de taper \\ lecteur1 \ - et le client DNS Windows lui-même ajoutera le nom.

Dans les versions antérieures d'Active Directory - par exemple, dans Windows 2000 Server - le deuxième niveau du domaine d'entreprise était spécifié par défaut corp. Et de nombreuses entreprises ont conservé la valeur par défaut pour leur domaine interne. Pire encore, beaucoup ont commencé à construire de vastes réseaux en plus de cette configuration erronée.

À l'époque des ordinateurs de bureau, cela ne posait pas de problème de sécurité particulier, car personne ne retirait ces ordinateurs du réseau d'entreprise. Mais que se passe-t-il lorsqu'un employé travaillant dans une entreprise avec un chemin de réseaucorpdans Active Directory prend un ordinateur portable d'entreprise - et va au Starbucks local? Ensuite, le protocole proxy de découverte automatique de proxy Web (WPAD) et la fonction de dévolution de nom DNS entrent en vigueur.



Il est probable que certains services sur l'ordinateur portable continueront de frapper le domaine interne corp, mais ne le trouveront pas, et à la place, les demandes seront résolues vers le domaine corp.com à partir d'Internet ouvert.

En pratique, cela signifie que le propriétaire de corp.com peut intercepter passivement des demandes privées de centaines de milliers d'ordinateurs qui dépassent accidentellement l'environnement de l'entreprise en utilisant la désignation corpde leur domaine dans Active Directory.


Fuite des requêtes WPAD dans le trafic américain. D'après une étude de l'Université du Michigan en 2016, source

Pourquoi le domaine n'est pas encore vendu


En 2014, les experts de l'ICANN ont publié une grande étude sur les collisions de noms DNS. L'étude a été partiellement financée par le département américain de la Sécurité intérieure parce que les fuites provenant des réseaux internes menacent non seulement les entreprises commerciales, mais aussi les organisations gouvernementales, y compris les services secrets, les agences de renseignement et les unités de l'armée.

Mike voulait vendre corp.com l'année dernière, mais le chercheur Jeff Schmidt l'a convaincu de reporter la vente en se basant uniquement sur le rapport ci-dessus. L'étude a également révélé que 375 000 ordinateurs par jour tentaient de contacter corp.com à l'insu des propriétaires. Les demandes contenaient des tentatives pour entrer dans les intranets d'entreprise et accéder aux réseaux ou aux ressources de fichiers.

Dans le cadre de sa propre expérience, Schmidt, en collaboration avec JAS Global, a imité sur corp.com une méthode de traitement des fichiers et des requêtes qui utilise un réseau Windows local. Avec cela, ils ont, en fait, ouvert un portail vers l'enfer pour tout spécialiste de la sécurité de l'information:

. 15 [ ] . , JAS , , « », .

[ corp.com] 12 , . , , [ ] .

Schmidt pense que depuis des décennies, les administrateurs du monde entier préparent le botnet le plus dangereux de l'histoire. Des centaines de milliers d'ordinateurs à part entière dans le monde sont prêts non seulement à faire partie du botnet, mais aussi à fournir des données confidentielles sur leurs propriétaires et leurs entreprises. Tout ce dont vous avez besoin pour l'utiliser est de contrôler corp.com. Dans ce cas, toute machine connectée au réseau d'entreprise, dont Active Directory a été configuré via // corp, devient une partie du botnet.

Microsoft a "marqué" le problème il y a 25 ans


Si vous pensez que MS semble ignorer les bacchanales en cours autour de corp.com, vous vous trompez sérieusement. Mike a traîné Microsoft et personnellement Bill Gates en 1997 avec une telle page, qui a obtenu les utilisateurs de la version bêta frontale '97, dans laquelle corp.com était indiqué comme URL par défaut: Lorsque Mike en était complètement fatigué, corp.com a commencé à rediriger les utilisateurs sur le site du sex-shop. En réponse, il a reçu des milliers de lettres de colère des utilisateurs, qu'il a redirigées via une copie vers Bill Gates. Soit dit en passant, Mike lui-même, par curiosité, a pris le serveur de messagerie et a reçu des lettres confidentielles sur corp.com. Il a essayé de résoudre ces problèmes en contactant des entreprises, mais elles ne savaient tout simplement pas comment régler la situation:







, , . , , . , , [ ].

Du côté de MS, aucune mesure active n'a été prise et la société refuse de commenter la situation. Oui, Microsoft au fil des ans a publié plusieurs mises à jour Active Directory qui résolvent partiellement le problème des collisions de noms de domaine, mais elles ont un certain nombre de problèmes. La société a également émis des recommandations sur la configuration des noms de domaine internes, des recommandations sur la possession d'un domaine de deuxième niveau pour éviter les conflits et d'autres didacticiels qu'ils ne lisent généralement pas.

Mais le plus important est dans les mises à jour. Premièrement: pour les appliquer, vous devez mettre complètement l'intranet de l'entreprise. Deuxièmement: certaines applications après de telles mises à jour peuvent commencer à fonctionner plus lentement, de manière incorrecte ou même cesser de fonctionner. Il est clair que la plupart des entreprises disposant d'un réseau d'entreprise bien établi ne prendront pas de tels risques. De plus, beaucoup d'entre eux ne réalisent même pas toute l'étendue de la menace qui se heurte à une redirection de tout et de tout sur corp.com lors du déplacement d'une machine en dehors du réseau interne.

Le maximum d’ironie est atteint lorsque vous regardez le rapport de Schmidt sur l’enquête sur les conflits de noms de domaine . Ainsi, selon ses données, certaines demandes adressées à corp.com proviennent de l'intranet de Microsoft lui-même.



Et que se passera-t-il ensuite?


Il semblerait que la solution à cette situation se trouve à la surface et a été décrite au début de l'article: laissez Microsoft racheter son domaine à Mike et l'interdire pour toujours quelque part dans le placard.

Mais pas si simple. Il y a quelques années, Microsoft proposait à O'Connor d'acheter son domaine toxique pour des entreprises du monde entier. Je viens d' offrir au géant de fermer un tel trou dans leurs propres réseaux de seulement 20 000 $ .

Le domaine est désormais facturé 1,7 million de dollars. Et même si Microsoft décide de l'acheter au dernier moment, le sera-t-il à temps?


More articles:


All Articles