Microsoft compra Corp.com, así que los chicos malos no pueden – Krebs on Safety


En febrero, KrebsOnSecurity contó la historia de un ciudadano privado que subastó el dominio peligroso corp.com por el precio inicial de $ 1.7 millones. Los expertos en dominios denominan peligroso a corp.com porque años de pruebas demostraron que quien lo maneje tendría acceso a un flujo interminable de contraseñas, correo electrónico y otros datos confidenciales de cientos de miles Microsoft Home windows Laptop en las principales empresas de todo el mundo. Esta semana, Microsoft Corp. acordó comprar el dominio en un intento por mantenerlo fuera de las manos de aquellos que podrían abusar de su increíble poder.

Nativo de Wisconsin Mike O&#39Connor, quien compró corp.com hace 26 años pero ha hecho muy poco con él desde entonces, dijo que esperaba que Microsoft lo comprara porque cientos de miles de Computer system con Home windows confusas intentan constantemente compartir datos confidenciales con corp.com. Además, las primeras versiones de Windows en realidad alentaron la adopción de configuraciones inseguras que hacían más possible que las computadoras con Home windows pudieran intentar compartir datos confidenciales con corp.com.

De la pieza de febrero:

El problema es un problema conocido como «colisión de espacio de nombres«, Una situación en la que los nombres de dominio destinados a ser utilizados exclusivamente en una pink interna de la empresa terminan superpuestos con dominios que pueden resolverse normalmente en World-wide-web abierto.

Las computadoras con Home windows en una purple corporativa interna validan otras cosas en esa crimson utilizando una innovación de Microsoft llamada Directorio Activo, que es el término standard para una amplia gama de servicios relacionados con la identidad en entornos Windows. Una parte fundamental de la forma en que estas cosas se encuentran involucra una característica de Home windows llamada «Devolución de nombre DNS, «Que es una especie de taquigrafía de red que facilita la búsqueda de otras computadoras o servidores sin tener que especificar un nombre de dominio legítimo completo para esos recursos.

Por ejemplo, si una empresa ejecuta una pink interna con el nombre internalnetwork.illustration.com, y un empleado de esa purple desea acceder a una unidad compartida llamada «unidad1», no hay necesidad de escribir «unidad1.internalnetwork.instance.com» en el Explorador de Home windows escribir » generate1 » solo será suficiente, y Home windows se encarga del resto.

Pero las cosas pueden volverse mucho más difíciles con un dominio interno de Home windows que no se asigna a un dominio de segundo nivel que la organización realmente posee y controla. Y desafortunadamente, en las primeras versiones de Windows que admitían Lively Directory, por ejemplo, Home windows 2000 Server, la ruta de Active Listing predeterminada o de ejemplo se daba como «corp», y muchas compañías aparentemente adoptaron esta configuración sin modificarla para incluir un dominio que controlaban .

Para complicar aún más las cosas, algunas compañías luego construyeron (y / o asimilaron) vastas redes de redes sobre esta configuración errónea.

Ahora, nada de esto era una gran preocupación de seguridad en el día en que no era práctico para los empleados cargar sus voluminosas computadoras de escritorio y monitores fuera de la purple corporativa. Pero, ¿qué sucede cuando un empleado que trabaja en una empresa con una ruta de purple de Active Directory llamada «corp» lleva una computadora portátil de la empresa al Starbucks neighborhood?

Hay muchas posibilidades de que al menos algunos recursos en la computadora portátil del empleado aún intenten acceder a ese dominio interno «corporativo». Y debido a la forma en que funciona la devolución de nombres DNS en Home windows, es possible que la computadora portátil de la compañía en línea a través de la conexión inalámbrica Starbucks busque esos mismos recursos en «corp.com».

En términos prácticos, esto significa que quien controle corp.com puede interceptar pasivamente las comunicaciones privadas de cientos de miles de computadoras que terminan siendo llevadas fuera de un entorno corporativo que utiliza esta designación de «corp» para su dominio de Energetic Directory.

La historia continuó describiendo cómo años de pruebas, algunas de las cuales fueron subsidiadas por subvenciones del Departamento de Seguridad Nacional de EE. UU. – mostró que cientos de miles de computadoras con Home windows intentaban constantemente enviar información de este dominio que no tenía que recibir, incluidos los intentos de iniciar sesión en redes corporativas internas y acceder a archivos compartidos específicos en esas redes.

O&#39Connor me dijo que estaba vendiendo el dominio después de no haber hecho prácticamente nada con él durante 26 años porque llevaba años y no quería que sus hijos heredaran este desastre. Cuando puso el dominio a la venta, le pregunté si aceptaba avisarme si lo vendió y cuándo.

El lunes por la noche, escribió para decir que Microsoft había aceptado comprarlo. O&#39Connor dijo que no podía discutir los términos del acuerdo, ni podía ofrecer más comentarios más allá de reconocer la venta de corp.com a Microsoft.

En una declaración escrita, Microsoft dijo que adquirió el dominio para proteger a sus clientes.

«Para ayudar a mantener los sistemas protegidos, alentamos a los clientes a practicar hábitos de seguridad seguros cuando planifiquen nombres de dominio y red internos», se lee en el comunicado. “Lanzamos un aviso de seguridad en junio de 2009 y una actualización de seguridad que ayuda a mantener a los clientes seguros. En nuestro compromiso continuo con la seguridad del cliente, también adquirimos el dominio Corp.com «.

Con los años, Microsoft ha enviado varios actualizaciones de computer software para ayudar a disminuir la probabilidad de colisiones de espacio de nombres que podría crear un problema de seguridad para empresas que aún dependen de dominios de Active Listing que no se asignan a un dominio que controlan.

Sin embargo, los expertos dicen que casi ninguna organización susceptible ha implementado estas soluciones por dos razones. Primero, hacerlo requiere que la organización elimine toda su pink de Energetic Listing simultáneamente durante un período de tiempo.

En segundo lugar, según Microsoft, la aplicación de los parches probablemente interrumpirá o al menos ralentizará una serie de aplicaciones de las que depende la organización afectada para las operaciones diarias. Frente a uno o ambos de estos escenarios, las empresas más afectadas probablemente decidieron que el riesgo actual de no aplicar estas actualizaciones era comparativamente bajo.

Cabe señalar que, si bien la compra de corp.com por parte de Microsoft salvaguardará a las compañías que construyeron infraestructuras de Active Directory sobre “corp” o “corp.com”, cualquier compañía que haya vinculado su pink interna de Energetic Directory a un dominio que no controlan se está abriendo a una pesadilla de seguridad potencial equivalent.

Otras lecturas:

Mitigar el riesgo de colisiones del espacio de nombres DNS (PDF)

DEFCON 21 – DNS puede ser peligroso para su salud (Robert Stucke)

Mitigar el riesgo de ataques de nombres intermedios basados ​​en colisiones (PDF)


Etiquetas: Lively Directory, corp.com, microsoft, Mike O&#39Connor

Esta entrada fue publicada el martes 7 de abril de 2020 a las 8:34 am y está archivada bajo A Very little Sunshine.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia primary