Get best of the week

O domínio corp.com está à venda. É perigoso para centenas de milhares de computadores corporativos executando o Windows


Esquema de vazamento de dados através da descoberta automática de proxy da Web (WPAD) em caso de colisão de nomes (nesse caso, a colisão do domínio interno com o nome de um dos novos gTLDs, mas a essência é a mesma). Fonte: estudo da Universidade de Michigan , 2016.

Mike O'Connor, um dos mais antigos investidores em nomes de domínio, coloca o lote mais perigoso e polêmico de sua coleção: o domínio corp.com por US $ 1,7 milhão.Em 1994, O'Connor comprou muitos simples. nomes de domínio como grill.com, place.com, pub.com e outros. Entre eles estava o corp.com, que Mike manteve por 26 anos. O investidor já tem 70 anos e decidiu monetizar seus investimentos de longa data.

Todo o problema é que o corp.com é potencialmente perigoso para pelo menos 375.000 computadores corporativos devido à configuração descuidada do Active Directory durante a construção de intranets corporativas no início dos anos 2000, com base no Windows Server 2000, quando a raiz interna era simplesmente indicada como "corp". Até o início de 2010, isso não era um problema, mas com o crescente número de laptops no ambiente de negócios, mais e mais funcionários começaram a mover seus computadores de trabalho para fora da rede corporativa. Os recursos da implementação do Active Directory levam ao fato de que, mesmo sem uma solicitação direta do usuário para // corp, vários aplicativos (por exemplo, correio) batem em um endereço familiar por conta própria. Porém, no caso de uma conexão de rede externa em um café condicional na esquina, isso leva ao fato de que o fluxo de dados e solicitações flui para corp.com .

Agora O'Connor realmente espera que a própria Microsoft compre o domínio e, nas melhores tradições do Google, o apodreça em algum lugar escuro e inacessível para quem está de fora, o problema com uma vulnerabilidade tão fundamental das redes Windows será resolvido.

Active Directory e colisão de nomes


Nas redes corporativas, o Windows usa o serviço de diretório do Active Directory. Ele permite que os administradores usem políticas de grupo para garantir a personalização uniforme do ambiente de trabalho do usuário, implante software em vários computadores por meio de políticas de grupo, execute autorização etc. O

Active Directory é integrado ao DNS e é executado sobre o TCP / IP. Para procurar nós na rede, o protocolo usa o protocolo WAPD (Descoberta Automática de Proxy da Web) e a função de devolução de nome DNS (incorporada ao Cliente DNS do Windows). Esse recurso facilita a localização de outros computadores ou servidores sem precisar especificar um nome de domínio totalmente qualificado.

Por exemplo, se uma empresa gerencia uma rede interna chamadainternalnetwork.example.com, e o funcionário deseja acessar a unidade compartilhada sob o nome drive1, não há necessidade de entrar drive1.internalnetwork.example.comno Explorer, basta digitar \\ drive1 \ - e o próprio cliente DNS do Windows adicionará o nome.

Nas versões anteriores do Active Directory - por exemplo, no Windows 2000 Server - o segundo nível do domínio corporativo era especificado por padrão corp. E muitas empresas mantiveram o valor padrão para seu domínio interno. Pior ainda, muitos começaram a construir vastas redes em cima dessa configuração incorreta.

Nos dias de computadores desktop, isso não apresentava um problema de segurança específico, porque ninguém retirava esses computadores da rede corporativa. Mas o que acontece quando um funcionário que trabalha em uma empresa com um caminho de redecorpno Active Directory usa um laptop corporativo - e vai para a Starbucks local? Em seguida, o protocolo de proxy de descoberta automática de proxy da Web (WPAD) e a função de devolução de nome DNS entram em vigor.



É provável que alguns serviços no laptop continuem batendo no domínio interno corp, mas não o encontrem. Em vez disso, as solicitações serão resolvidas no domínio corp.com pela Internet aberta.

Na prática, isso significa que o proprietário da corp.com pode interceptar passivamente solicitações privadas de centenas de milhares de computadores que acidentalmente vão além do ambiente corporativo usando a designação corpde seu domínio no Active Directory.


Vazamento de solicitações WPAD no tráfego americano. De um estudo da Universidade de Michigan em 2016, fonte

Por que o domínio ainda não foi vendido


Em 2014, os especialistas da ICANN publicaram um grande estudo sobre colisões de nomes DNS. O estudo foi parcialmente financiado pelo Departamento de Segurança Interna dos EUA, porque vazamentos de redes internas ameaçam não apenas empresas comerciais, mas também organizações governamentais, incluindo serviços secretos, agências de inteligência e unidades do exército.

Mike queria vender o corp.com no ano passado, mas o pesquisador Jeff Schmidt o convenceu a adiar a venda com base apenas no relatório acima. O estudo também descobriu que diariamente 375.000 computadores estão tentando entrar em contato com o corp.com sem o conhecimento dos proprietários. As solicitações continham tentativas de entrar nas intranets corporativas e obter acesso a redes ou recursos de arquivos.

Como parte de seu próprio experimento, Schmidt, junto com a JAS Global, imitou no corp.com um método de processamento de arquivos e solicitações que usa uma rede local do Windows. Com isso, eles, de fato, abriram um portal para o inferno para qualquer especialista em segurança da informação:

. 15 [ ] . , JAS , , « », .

[ corp.com] 12 , . , , [ ] .

Schmidt acredita que há décadas, administradores de todo o mundo preparam a botnet mais perigosa da história. Centenas de milhares de computadores de trabalho completos em todo o mundo estão prontos não apenas para fazer parte da botnet, mas também para fornecer dados confidenciais sobre seus proprietários e empresas. Tudo que você precisa usar é controlar o corp.com. Nesse caso, qualquer máquina que já esteja conectada à rede corporativa cujo Active Directory foi configurado através de // corp se tornará parte da botnet.

Microsoft "marcou" o problema há 25 anos


Se você acha que a MS parecia desconhecer a bacanal em andamento no corp.com, você está seriamente enganado. Mike controlou a Microsoft e pessoalmente Bill Gates em 1997 com essa página, que levou os usuários da versão beta do front-end '97, na qual corp.com foi indicado como o URL padrão: quando Mike estava cansado disso, o corp.com começou a redirecionar os usuários para o site de sex shop. Em resposta, ele recebeu milhares de cartas raivosas dos usuários, as quais ele redirecionou através de uma cópia para Bill Gates. A propósito, o próprio Mike, por curiosidade, pegou o servidor de correio e recebeu cartas confidenciais no corp.com. Ele tentou resolver esses problemas entrando em contato com as empresas, mas elas simplesmente não sabiam como resolver a situação:







, , . , , . , , [ ].

Por parte da MS, nenhuma ação foi tomada, e a empresa se recusa a comentar a situação. Sim, a Microsoft, ao longo dos anos, lançou várias atualizações do Active Directory que resolvem parcialmente o problema de colisões de nomes de domínio, mas eles têm vários problemas. A empresa também emitiu recomendações sobre a configuração de nomes de domínio internos, recomendações sobre a posse de um domínio de segundo nível para evitar conflitos e outros tutoriais que eles geralmente não lêem.

Mas o mais importante está nas atualizações. Primeiro: para aplicá-los, você deve colocar completamente a intranet da empresa. Segundo: alguns aplicativos após essas atualizações podem começar a funcionar mais lentamente, incorretamente ou parar de funcionar completamente. É claro que a maioria das empresas com uma rede corporativa bem estabelecida não assume tais riscos. Além disso, muitos deles nem sequer percebem a extensão completa da ameaça que está repleta de um redirecionamento de tudo e de tudo no corp.com ao mover uma máquina para fora da rede interna.

O máximo de ironia é alcançado quando você analisa o relatório de Schmidt sobre a investigação de conflitos de nome de domínio . Portanto, de acordo com seus dados, alguns pedidos para corp.com vêm da intranet da própria Microsoft.



E o que vai acontecer a seguir?


Parece que a solução para essa situação está na superfície e foi descrita no início do artigo: deixe a Microsoft comprar seu domínio de Mike e bani-lo em algum lugar do fundo do armário para sempre.

Mas não é tão simples. A Microsoft estava oferecendo a O'Connor a compra de seu domínio tóxico para empresas em todo o mundo, alguns anos atrás. Apenas ofereceu ao gigante fechar esse buraco em suas próprias redes de apenas US $ 20 mil .

Agora, o domínio é faturado em US $ 1,7 milhão e, mesmo que a Microsoft decida comprá-lo no último momento, chegará a tempo?


More articles:


All Articles