En tant qu’investisseur précoce dans les noms de domaine, Mike O’Connor avait en 1994 arraché plusieurs destinations en ligne de choix, notamment bar.com, cafes.com, grill.com, place.com, pub.com et television.com. Certains qu’il a vendus au fil des ans, mais au cours des 26 dernières années, O’Connor a refusé de vendre aux enchères peut-être le domaine le plus sensible de son écurie – corp.com. Il est sensible car des années de tests montrent que quiconque l’utilise aurait accès à un flux incessant de mots de passe, d’e-mails et d’autres données propriétaires appartenant à des centaines de milliers de systèmes dans de grandes entreprises du monde entier.
Maintenant, face à 70 ans et cherchant à simplifier sa succession, O’Connor vend enfin corp.com. Le prix demandé – 1,7 million de dollars – n’est guère exagéré pour un domaine de 4 lettres avec un tel attrait commercial. O’Connor a dit qu’il espère Microsoft Corp. l’achètera, mais craint qu’il ne le fasse pas et qu’il soit récupéré par quelqu’un travaillant avec des cybercriminels organisés ou des groupes de piratage financés par l’État déterminés à saper les intérêts des entreprises occidentales.
L’une des raisons pour lesquelles O’Connor espère que Microsoft l’achètera est qu’en raison de la manière unique les fenêtres gère la résolution des noms de domaine sur un réseau local, pratiquement tous les ordinateurs essayant de partager des données sensibles avec corp.com sont des PC Windows quelque peu confus. Plus important encore, les premières versions de Windows encourageaient en fait l’adoption de paramètres non sécurisés qui rendaient plus probable que les ordinateurs Windows tentent de partager des données sensibles avec corp.com.
Il s’agit d’un problème connu sous le nom de « collision d’espace de noms», une situation où les noms de domaine destinés à être utilisés exclusivement sur un réseau interne d’entreprise finissent par se chevaucher avec des domaines qui peuvent se résoudre normalement sur l’Internet ouvert.
Les ordinateurs Windows sur un réseau d’entreprise interne valident d’autres éléments sur ce réseau à l’aide d’une innovation Microsoft appelée Active Directory, qui est le terme générique désignant une large gamme de services liés à l’identité dans les environnements Windows. Une partie essentielle de la façon dont ces choses se trouvent implique une fonctionnalité Windows appelée « Dévolution de nom DNS», qui est une sorte de raccourci réseau qui facilite la recherche d’autres ordinateurs ou serveurs sans avoir à spécifier un nom de domaine complet et légitime pour ces ressources.
Par exemple, si une entreprise gère un réseau interne portant le nom internalnetwork.example.com et qu’un employé de ce réseau souhaite accéder à un lecteur partagé appelé « drive1 », il n’est pas nécessaire de saisir « drive1.internalnetwork.example.com ». dans l’Explorateur Windows ; taper « \drive1 » seul suffira, et Windows s’occupe du reste.
Mais les choses peuvent devenir beaucoup plus délicates avec un domaine Windows interne qui ne correspond pas à un domaine de second niveau que l’organisation possède et contrôle réellement. Et malheureusement, dans les premières versions de Windows prenant en charge Active Directory – Windows 2000 Server, par exemple – le chemin par défaut ou exemple d’Active Directory était « corp », et de nombreuses entreprises ont apparemment adopté ce paramètre sans le modifier pour inclure un domaine qu’ils contrôlaient. .
Pour aggraver les choses, certaines entreprises ont ensuite construit (et/ou assimilé) de vastes réseaux de réseaux en plus de ce paramètre erroné.
Maintenant, rien de tout cela n’était vraiment un problème de sécurité à l’époque où il n’était pas pratique pour les employés de trimballer leurs ordinateurs de bureau et leurs écrans encombrants en dehors du réseau de l’entreprise. Mais que se passe-t-il lorsqu’un employé travaillant dans une entreprise avec un chemin de réseau Active Directory appelé « corp » apporte un ordinateur portable de l’entreprise au Starbucks local ?
Il y a de bonnes chances qu’au moins certaines ressources sur l’ordinateur portable de l’employé essaient toujours d’accéder à ce domaine interne « corp ». Et en raison de la façon dont la dévolution des noms DNS fonctionne sous Windows, cet ordinateur portable de l’entreprise en ligne via la connexion sans fil Starbucks est susceptible de rechercher ensuite ces mêmes ressources sur « corp.com ».
Concrètement, cela signifie que quiconque contrôle corp.com peut passivement intercepter les communications privées de centaines de milliers d’ordinateurs qui finissent par être prises en dehors d’un environnement d’entreprise qui utilise cette désignation « corp » pour son domaine Active Directory.
BOTNET D’ENTREPRISE INSTANTANÉ, QUELQU’UN ?
C’est selon Jeff Schmidtun expert en sécurité qui a mené une longue étude sur les collisions d’espaces de noms DNS financé en partie par des subventions du Département américain de la sécurité intérieure. Dans le cadre de cette analyse, Schmidt a convaincu O’Connor de suspendre la vente de corp.com afin que lui et d’autres puissent mieux comprendre et documenter le volume et les types de trafic qui y transitent chaque jour.
Au cours d’une analyse de huit mois du trafic interne capricieux d’entreprise destiné à corp.com en 2019, Schmidt a découvert que plus de 375 000 PC Windows tentaient d’envoyer ces informations de domaine qu’il n’avait pas à recevoir, y compris des tentatives de connexion à des réseaux internes d’entreprise et d’accès spécifiques. partages de fichiers sur ces réseaux.
Pendant une brève période au cours de ces tests, la société de Schmidt Conseillers mondiaux JAS acceptaient les connexions sur corp.com qui imitaient la façon dont les réseaux Windows locaux gèrent les connexions et les tentatives de partage de fichiers.
« C’était terrifiant », a déclaré Schmidt. « Nous avons interrompu l’expérience après 15 minutes et détruit les données. Un testeur offensif bien connu qui a consulté JAS à ce sujet a fait remarquer que pendant l’expérience, il pleuvait des informations d’identification et qu’il n’avait jamais rien vu de tel.
De même, JAS a temporairement configuré corp.com pour accepter les e-mails entrants.
« Après environ une heure, nous avons reçu plus de 12 millions d’e-mails et avons interrompu l’expérience », a déclaré Schmidt. « Alors que la grande majorité des e-mails étaient de nature automatisée, nous avons trouvé certains des e-mails sensibles et avons ainsi détruit l’ensemble du corpus sans autre analyse. »
Schmidt a déclaré que lui et d’autres avaient conclu que quiconque finirait par contrôler corp.com pourrait avoir un botnet instantané de machines d’entreprise bien connectées.
« Des centaines de milliers de machines directement exploitables et d’innombrables autres exploitables via un mouvement latéral une fois dans l’entreprise », a-t-il déclaré. « Vous voulez une entrée instantanée dans environ 30 des plus grandes entreprises mondiales selon le Forbes Global 2000 ? Contrôle corp.com.
LES PREMIÈRES AVENTURES DE CORP.COM
Les découvertes de Schmidt reflètent étroitement ce que O’Connor a découvert au cours des quelques années où corp.com était en ligne sur Internet après son enregistrement initial en 1994. O’Connor a déclaré que les premières versions d’un outil de création de site Web aujourd’hui disparu appelé Microsoft FrontPage ont suggéré à corporation .com (un autre domaine enregistré très tôt par O’Connor) comme exemple de domaine dans son assistant de configuration.
Cette expérience, dont certaines parties sont toujours indexé par l’incontournable Internet Archive, a vu O’Connor rediriger brièvement les requêtes pour le domaine vers le site Web d’un magasin local de jouets sexuels pour adultes comme une blague. Il a rapidement reçu des e-mails en colère de personnes confuses qui avaient également mis en copie le co-fondateur de Microsoft, Bill Gates.
L’index Archive.org de corp.com de 1997, lorsque son propriétaire Mike O’Connor a brièvement activé un site Web principalement pour faire honte à Microsoft pour les paramètres par défaut de son logiciel.
O’Connor a déclaré qu’il avait également brièvement activé un serveur de messagerie sur corp.com, principalement par curiosité morbide pour voir ce qui se passerait ensuite.
« J’ai tout de suite commencé à recevoir des e-mails sensibles, y compris des pré-publications de documents financiers d’entreprise auprès de la Securities and Exchange Commission des États-Unis, des rapports sur les ressources humaines et toutes sortes de choses effrayantes », se souvient O’Connor dans une interview avec BreachTrace. « Pendant un certain temps, j’essayais de répondre aux entreprises qui faisaient ces erreurs, mais la plupart d’entre elles ne savaient pas quoi en faire. Alors j’ai fini par l’éteindre.
LE NETTOYAGE DES DÉCHETS TOXIQUES EST DIFFICILE
Microsoft a refusé de répondre à des questions spécifiques en réponse aux conclusions de Schmidt sur le trafic capricieux de corp.com. Mais un porte-parole de la société a partagé une déclaration écrite reconnaissant que « nous faisons parfois référence à » corp « comme une étiquette dans notre documentation de dénomination. »
« Nous recommandons aux clients de posséder des domaines de second niveau pour éviter d’être acheminés vers Internet », indique le communiqué, renvoyant à cet article Microsoft Technet sur les meilleures pratiques pour configurer des domaines dans Active Directory.
Au fil des ans, Microsoft a livré nombreuses mises à jour de logiciel pour aider à réduire la probabilité de collisions d’espaces de noms qui pourrait créer un problème de sécurité pour les entreprises qui s’appuient toujours sur des domaines Active Directory qui ne correspondent pas à un domaine qu’elles contrôlent.
Mais O’Connor et Schmidt affirment que pratiquement aucune organisation vulnérable n’a déployé ces correctifs pour deux raisons. Tout d’abord, cela nécessite que l’organisation supprime simultanément l’ensemble de son réseau Active Directory pendant un certain temps. Deuxièmement, selon Microsoft, l’application du ou des correctifs va probablement casser ou au moins ralentir un certain nombre d’applications sur lesquelles l’organisation concernée s’appuie pour ses opérations quotidiennes.
Face à l’un ou l’autre de ces scénarios ou aux deux, la plupart des entreprises concernées ont probablement décidé que le risque réel de ne pas appliquer ces mises à jour était relativement faible, a déclaré O’Connor.
« Le problème est que lorsque vous lisez les instructions pour effectuer la réparation, vous vous rendez compte que ce qu’ils disent est: » Ok Megacorp, afin d’appliquer ce patch et pour que tout fonctionne correctement, vous devez supprimer tous vos Les services Active Directory sur l’ensemble du réseau, et lorsque vous les réactivez après avoir appliqué le correctif, un grand nombre de vos serveurs risquent de ne pas fonctionner correctement », a déclaré O’Connor.
Curieusement, Schmidt a partagé des diapositives d’un rapport soumis à un groupe de travail sur les collisions d’espaces de noms suggérant qu’au moins certaines des requêtes reçues par corp.com pendant qu’il le surveillait pouvaient provenir des propres réseaux internes de Microsoft.
Image : Conseillers mondiaux JAS
« La raison pour laquelle je pense que c’est le problème de Microsoft à résoudre est que quelqu’un qui a suivi les recommandations de Microsoft lors de la création d’un annuaire actif il y a plusieurs années a maintenant un problème », a déclaré Schmidt.
« Même si tous les correctifs sont appliqués et mis à jour vers Windows 10 », a-t-il poursuivi. « Et le problème persistera tant qu’il y aura des répertoires actifs nommés « corp » – c’est-à-dire pour toujours. Plus concrètement, si corp.com tombe entre de mauvaises mains, l’impact sera sur les entreprises clientes de Microsoft – et à grande échelle – payantes, les clients Microsoft qu’ils devraient protéger.
O’Connor a déclaré que Microsoft avait en fait proposé d’acheter le domaine il y a plusieurs années pour 20 000 $. Il les a refusés, disant qu’à l’époque, il pensait que c’était trop bas et ne reflétait pas la valeur marchande du domaine.
Lorsqu’on lui a demandé pourquoi il n’avait pas simplement donné corp.com à Microsoft comme un geste altruiste, O’Connor a déclaré qu’il pensait que le géant du logiciel devrait être responsable de ses produits et de ses erreurs.
« Il me semble que Microsoft devrait se lever et assumer le fardeau de l’erreur qu’ils ont commise », a-t-il déclaré. « Mais ils n’ont montré aucun intérêt réel à le faire, et donc je n’ai montré aucun intérêt à le leur donner. Je n’ai pas vraiment besoin d’argent. En gros, je vends aux enchères une décharge de déchets chimiques parce que je ne veux pas la transmettre à mes enfants et les accabler avec ça. Ma frustration ici est que les gentils s’en fichent et que les méchants ne le savent probablement pas. Mais je m’attends à ce que les méchants l’aiment.
Lecture complémentaire :
Atténuation du risque de collisions d’espaces de noms DNS (PDF)
DEFCON 21 – Le DNS peut être dangereux pour votre santé (Robert Stucke)
Atténuation du risque d’attaques de l’homme du milieu basées sur la collision de noms (PDF)
Mise à jour, 18 h 22 HE : Ajouté à la fin de l’offre de 20 000 $ de Microsoft il y a quelques années, un détail que j’ai en quelque sorte omis de l’histoire originale.