微软买下“史上最危险域名”

在与域名持有者僵持了26年后,微软终于决定买下史上最危险域名corp.com,这很可能与全球新冠病毒肆虐远程办公激增导致域名相关企业安全风险飙升有很大关系。

近日,据知名安全博主Brian Krebs报道,微软已经购买了“史上最危险域名”corp.com,以免落入坏人手中。据悉微软正在确认购买交易,但是到目前为止还没有透露域名收购价格。

今年2月,corp.com的拥有者迈克·奥康纳(Mike O’Connor)决定以170万美元的起价公开拍卖该域名,当时在业内引发轩然大波,因为corp.com号称史上最危险域名。谁掌握了corp.com,谁就拥有了被动攻击全球企业网络的超级僵尸网络,不计其数的企业内部设备瞬间都会主动投怀送抱,成为这个僵尸网络的肉鸡,并向域名控制者发送企业内网的敏感信息,包括密码账户、电子邮件和文档等。

corp.com之所有如此可怕,根源是“移动互联网”触发了Active Directory安全机制的一个先天缺陷,会导致一种空间冲突(namespace collision),发生此类冲突时,原本只打算在公司内部网络上使用的域名最终与外部互联网上正常解析的域名地址发生重叠,敏感数据瞬间流向外网,“分享”到了corp.com站点上,后果可想而知。

在移动互联网流行之前,企业内网的电脑通常不会跑到公司楼下的咖啡屋或者机场、酒店,因为那个年代的台式机足足有30斤重。但是在移动互联网、移动办公时代,这个安全缺陷就像潜伏的活火山喷发了。

更糟糕的是,这个缺陷由于已经成为“生米煮成熟饭”,很难通过安全更新来彻底根除。

但为什么如此多的企业都会将corp.com这个域名作为内网的地址使用呢?这个问题要回溯到Active Directory的诞生。

自从比尔·盖茨创建Windows帝国以来,Windows系统都以一种独特的方式处理本地网络上的域名解析。公司内网上的Windows计算机使用Active Directory(动态目录)来验证该网络上的其他内容,Active Directory是Windows环境中各种与身份相关的服务的统称。系统要素彼此查找需要借助一个名为DNS名称传递(DNS name devolution)的Windows功能,这是一种网络速记方法,可以轻松查找其他计算机或服务器,而无需为这些资源指定完整的合法域名。

例如,如果一家公司运行一个名为internalnetwork.example.com的内部网络,而该网络上的员工希望访问一个名为“drive1”的共享驱动器,则无需键入“drive1.internalnetwork.example.com”进入Windows资源管理器,仅键入“\\drive1\”就足够了,Windows会负责其余的工作。

但是,如果内部Windows域无法映射回企业实际拥有和控制的二级域名,事情将变得不妙。不幸的是,在支持Active Directory的Windows的早期版本(例如Windows 2000 Server)中,默认或示例Active Directory路径被指定为“corp”,并且许多公司采用了此默认设置,而没有修改成自己公司的二级域名。

使事情更加复杂的是,一些公司随后在这种错误的“邮政编码”环境下建立(和/或整合)了庞大的企业网络,一切都木已成舟,尾大不掉。

corp.com的危险性绝非空穴来风,安全专家杰夫·施密特(Jeff Schmidt)在对2019年流向corp.com的企业内部流量进行的八个月分析中,发现超过375,000台Windows PC正在尝试发送信息-包括尝试登录内部公司网络以及访问网络上的特定共享文件!

一位与JAS合作过的著名攻击测试员指出:在实验过程中,“泄露的证书如瓢泼大雨”,是平生未见之壮观景象。

施密特的结论是:

最终控制corp.com的人可能会立即拥有一个开箱即用的遍布全球的企业计算机僵尸网络。

那么,面对corp.com这样一个严重威胁客户网络安全和信息安全的“核脏弹”,微软为何迟迟不肯接手?毕竟,corp.com域名持有者给出的170万美元定价,对于一个四字母的顶级“优质”域名来说,似乎也算得上是“良心价”。

其实,多年来,Microsoft一直在试图消除corp.com的威胁,发布了数个软件更新,以帮助客户减少名称空间冲突的可能性。

但是事实上这些缓解措施收效甚微,因为很少有企业听从微软的建议部署这些修复程序。原因主要有两点:首先,这样做需要企业在一段时间内同时关闭其整个Active Directory网络。其次,根据微软的说法,补丁程序可能会破坏或拖慢企业日常运行所依赖的许多应用程序。

面对这两种情况中的任何一种,大多数受影响的公司都不可能为了消除这个纸面上的风险去冒更大的风险更新补丁。

微软甚至也曾经试图购买corp.com,据奥康纳透露,微软的出价是2万美元,对于corp.com这样的四字母顶级“优质”域名来说,这个报价不是买,是抢。

虽然2月份至今微软与corp.com的域名持有者奥康纳之间发生了什么我们无从得知,但是根据微软的声明,我们猜测微软应该是让步了,给奥康纳开出了一个“合理的买断价格”,解除了这个在全球微软客户头顶悬挂了长达26年的“雷”。

在回复Krebs关于收购corp.com域名的询问时,Microsoft发言人提供了如下信息:

为帮助保护系统的安全,我们鼓励客户在规划内部域名和网络名称时遵循良好的安全习惯。我们于2009年6月发布了安全公告,帮助确保客户安全的安全更新。作为我们对客户安全持续承诺的一部分,我们还收购了corp.com域名。

最后,Krebs警告说,corp.com也许只是冰山一角,从安全的角度来看,任何将企业内网Active Directory绑定到非企业控制的域名(编者按,即便是当时并不存在的域名)下都是极其危险的行为。

上一篇:浅谈威胁情报应用场景

下一篇:锐捷高级威胁检测系统 —— APT攻击终结者,让高级未知威胁无所遁形