信息來(lái)源:安全牛
在與域名持有者僵持了26年后���,微軟終于決定買下史上最危險(xiǎn)域名corp.com,這很可能與全球新冠病毒肆虐遠(yuǎn)程辦公激增導(dǎo)致域名相關(guān)企業(yè)安全風(fēng)險(xiǎn)飆升有很大關(guān)系�。
近日,據(jù)知名安全博主Brian Krebs報(bào)道����,微軟已經(jīng)購(gòu)買了“史上最危險(xiǎn)域名”corp.com,以免落入壞人手中�����。據(jù)悉微軟正在確認(rèn)購(gòu)買交易���,但是到目前為止還沒(méi)有透露域名收購(gòu)價(jià)格��。
今年2月��,corp.com的擁有者邁克·奧康納(Mike O’Connor)決定以170萬(wàn)美元的起價(jià)公開(kāi)拍賣該域名����,當(dāng)時(shí)在業(yè)內(nèi)引發(fā)軒然大波���,因?yàn)閏orp.com號(hào)稱史上最危險(xiǎn)域名�����。誰(shuí)掌握了corp.com���,誰(shuí)就擁有了被動(dòng)攻擊全球企業(yè)網(wǎng)絡(luò)的超級(jí)僵尸網(wǎng)絡(luò),不計(jì)其數(shù)的企業(yè)內(nèi)部設(shè)備瞬間都會(huì)主動(dòng)投懷送抱����,成為這個(gè)僵尸網(wǎng)絡(luò)的肉雞,并向域名控制者發(fā)送企業(yè)內(nèi)網(wǎng)的敏感信息����,包括密碼賬戶、電子郵件和文檔等�����。
corp.com之所有如此可怕��,根源是“移動(dòng)互聯(lián)網(wǎng)”觸發(fā)了Active Directory安全機(jī)制的一個(gè)先天缺陷�����,會(huì)導(dǎo)致一種空間沖突(namespace collision),發(fā)生此類沖突時(shí)���,原本只打算在公司內(nèi)部網(wǎng)絡(luò)上使用的域名最終與外部互聯(lián)網(wǎng)上正常解析的域名地址發(fā)生重疊����,敏感數(shù)據(jù)瞬間流向外網(wǎng)�����,“分享”到了corp.com站點(diǎn)上����,后果可想而知。
在移動(dòng)互聯(lián)網(wǎng)流行之前�����,企業(yè)內(nèi)網(wǎng)的電腦通常不會(huì)跑到公司樓下的咖啡屋或者機(jī)場(chǎng)�、酒店,因?yàn)槟莻€(gè)年代的臺(tái)式機(jī)足足有30斤重��。但是在移動(dòng)互聯(lián)網(wǎng)�、移動(dòng)辦公時(shí)代,這個(gè)安全缺陷就像潛伏的活火山噴發(fā)了�����。
更糟糕的是���,這個(gè)缺陷由于已經(jīng)成為“生米煮成熟飯”��,很難通過(guò)安全更新來(lái)徹底根除���。
但為什么如此多的企業(yè)都會(huì)將corp.com這個(gè)域名作為內(nèi)網(wǎng)的地址使用呢?這個(gè)問(wèn)題要回溯到Active Directory的誕生��。
自從比爾·蓋茨創(chuàng)建Windows帝國(guó)以來(lái)����,Windows系統(tǒng)都以一種獨(dú)特的方式處理本地網(wǎng)絡(luò)上的域名解析。公司內(nèi)網(wǎng)上的Windows計(jì)算機(jī)使用Active Directory(動(dòng)態(tài)目錄)來(lái)驗(yàn)證該網(wǎng)絡(luò)上的其他內(nèi)容���,Active Directory是Windows環(huán)境中各種與身份相關(guān)的服務(wù)的統(tǒng)稱�����。系統(tǒng)要素彼此查找需要借助一個(gè)名為DNS名稱傳遞(DNS name devolution)的Windows功能����,這是一種網(wǎng)絡(luò)速記方法,可以輕松查找其他計(jì)算機(jī)或服務(wù)器��,而無(wú)需為這些資源指定完整的合法域名�����。
例如��,如果一家公司運(yùn)行一個(gè)名為internalnetwork.example.com的內(nèi)部網(wǎng)絡(luò)�����,而該網(wǎng)絡(luò)上的員工希望訪問(wèn)一個(gè)名為“drive1”的共享驅(qū)動(dòng)器�����,則無(wú)需鍵入“drive1.internalnetwork.example.com”進(jìn)入Windows資源管理器���,僅鍵入“\\drive1\”就足夠了�,Windows會(huì)負(fù)責(zé)其余的工作���。
但是�����,如果內(nèi)部Windows域無(wú)法映射回企業(yè)實(shí)際擁有和控制的二級(jí)域名���,事情將變得不妙����。不幸的是��,在支持Active Directory的Windows的早期版本(例如Windows 2000 Server)中�����,默認(rèn)或示例Active Directory路徑被指定為“corp”��,并且許多公司采用了此默認(rèn)設(shè)置�����,而沒(méi)有修改成自己公司的二級(jí)域名�����。
使事情更加復(fù)雜的是�����,一些公司隨后在這種錯(cuò)誤的“郵政編碼”環(huán)境下建立(和/或整合)了龐大的企業(yè)網(wǎng)絡(luò)�,一切都木已成舟,尾大不掉�。
corp.com的危險(xiǎn)性絕非空穴來(lái)風(fēng),安全專家杰夫·施密特(Jeff Schmidt)在對(duì)2019年流向corp.com的企業(yè)內(nèi)部流量進(jìn)行的八個(gè)月分析中�,發(fā)現(xiàn)超過(guò)375,000臺(tái)Windows PC正在嘗試發(fā)送信息-包括嘗試登錄內(nèi)部公司網(wǎng)絡(luò)以及訪問(wèn)網(wǎng)絡(luò)上的特定共享文件!
一位與JAS合作過(guò)的著名攻擊測(cè)試員指出:在實(shí)驗(yàn)過(guò)程中���,“泄露的證書如瓢潑大雨”����,是平生未見(jiàn)之壯觀景象���。
施密特的結(jié)論是:
最終控制corp.com的人可能會(huì)立即擁有一個(gè)開(kāi)箱即用的遍布全球的企業(yè)計(jì)算機(jī)僵尸網(wǎng)絡(luò)�。
那么��,面對(duì)corp.com這樣一個(gè)嚴(yán)重威脅客戶網(wǎng)絡(luò)安全和信息安全的“核臟彈”���,微軟為何遲遲不肯接手��?畢竟��,corp.com域名持有者給出的170萬(wàn)美元定價(jià)���,對(duì)于一個(gè)四字母的頂級(jí)“優(yōu)質(zhì)”域名來(lái)說(shuō)�,似乎也算得上是“良心價(jià)”���。
其實(shí)�,多年來(lái)���,Microsoft一直在試圖消除corp.com的威脅,發(fā)布了數(shù)個(gè)軟件更新�,以幫助客戶減少名稱空間沖突的可能性。
但是事實(shí)上這些緩解措施收效甚微�����,因?yàn)楹苌儆衅髽I(yè)聽(tīng)從微軟的建議部署這些修復(fù)程序����。原因主要有兩點(diǎn):首先,這樣做需要企業(yè)在一段時(shí)間內(nèi)同時(shí)關(guān)閉其整個(gè)Active Directory網(wǎng)絡(luò)�����。其次,根據(jù)微軟的說(shuō)法����,補(bǔ)丁程序可能會(huì)破壞或拖慢企業(yè)日常運(yùn)行所依賴的許多應(yīng)用程序。
面對(duì)這兩種情況中的任何一種��,大多數(shù)受影響的公司都不可能為了消除這個(gè)紙面上的風(fēng)險(xiǎn)去冒更大的風(fēng)險(xiǎn)更新補(bǔ)丁�����。
微軟甚至也曾經(jīng)試圖購(gòu)買corp.com��,據(jù)奧康納透露�����,微軟的出價(jià)是2萬(wàn)美元���,對(duì)于corp.com這樣的四字母頂級(jí)“優(yōu)質(zhì)”域名來(lái)說(shuō)���,這個(gè)報(bào)價(jià)不是買,是搶�。
雖然2月份至今微軟與corp.com的域名持有者奧康納之間發(fā)生了什么我們無(wú)從得知,但是根據(jù)微軟的聲明����,我們猜測(cè)微軟應(yīng)該是讓步了���,給奧康納開(kāi)出了一個(gè)“合理的買斷價(jià)格”,解除了這個(gè)在全球微軟客戶頭頂懸掛了長(zhǎng)達(dá)26年的“雷”�。
在回復(fù)Krebs關(guān)于收購(gòu)corp.com域名的詢問(wèn)時(shí),Microsoft發(fā)言人提供了如下信息:
為幫助保護(hù)系統(tǒng)的安全�����,我們鼓勵(lì)客戶在規(guī)劃內(nèi)部域名和網(wǎng)絡(luò)名稱時(shí)遵循良好的安全習(xí)慣�����。我們于2009年6月發(fā)布了安全公告���,幫助確保客戶安全的安全更新���。作為我們對(duì)客戶安全持續(xù)承諾的一部分��,我們還收購(gòu)了corp.com域名���。
最后,Krebs警告說(shuō),corp.com也許只是冰山一角��,從安全的角度來(lái)看��,任何將企業(yè)內(nèi)網(wǎng)Active Directory綁定到非企業(yè)控制的域名(編者按�,即便是當(dāng)時(shí)并不存在的域名)下都是極其危險(xiǎn)的行為。
