近日,据知名安全博主BrianKrebs爆料,微软购买了“史上最危险域名”corp.com,以防其落入坏人之手。据悉,微软正在确认收购交易,但至今未透露域名收购价格。今年2月,corp.com的所有者MikeO'Connor决定公开拍卖该域名,起拍价为170万美元,当时在业界引起轩然大波,因为corp.com被称为史上最危险的域名。谁控制了corp.com,谁就拥有了一个被动攻击全球企业网络的超级僵尸网络。无数的企业内部设备会在瞬间主动投入自己的怀抱,成为僵尸网络的僵尸网络,向企业内网发送敏感信息,包括密码账户、邮件、文档等。corp.com之所以如此可怕,是因为“移动互联网”引发了ActiveDirectory安全机制的先天缺陷,会造成一种命名空间冲突。当发生这样的冲突时,原本打算在公司内网使用的域名最终与外网正常解析的域名地址重叠,敏感数据瞬间流向外网并被“共享”在corp.com网站上。后果可想而知。在移动互联网普及之前,企业内网的电脑通常不会去公司楼下的咖啡厅、机场、酒店,因为那时候的台式电脑有30公斤重。但在移动互联网、移动办公的时代,这个安全漏洞就像是一座正在喷发的潜伏活火山。更糟糕的是,由于该漏洞已经成为“炒饭”,很难通过安全更新彻底根除。但是为什么那么多公司都使用域名corp.com作为内网地址呢?这个问题要追溯到ActiveDirectory的诞生。自比尔·盖茨创立Windows帝国以来,Windows系统就以一种独特的方式处理本地网络上的域名解析。公司内部网上的Windows计算机使用ActiveDirectory(Windows环境中各种与身份相关的服务的总称)来验证该网络上的其他内容。系统元素借助称为DNS名称授权的Windows功能相互查找,这是一种网络速记方法,可以轻松找到其他计算机或服务器,而无需为这些资源指定完整的合法域名。例如,如果一家公司运行一个名为internalnetwork.example.com的内部网络,并且该网络上的员工想要访问一个名为“drive1”的共享驱动器,则他们不需要在其中键入“drive1.internalnetwork.example.com”Windows资源管理器,只需键入“\\drive1\”就足够了,Windows会处理剩下的事情。但是,如果内部Windows域不能映射回企业实际拥有和控制的二级域名,事情就很糟糕了。遗憾的是,在支持ActiveDirectory的早期Windows版本(如Windows2000Server)中,默认或示例ActiveDirectory路径被指定为“corp”,许多公司都采用了这个默认值,而没有将其修改为自己的辅助域。更复杂的是,一些公司随后在这个虚假的“邮政编码”环境中构建(和/或集成)了大型企业网络,一切都结束了。corp.com的危险并非没有根据。在对2019年corp.com的内部企业流量进行为期八个月的分析中,安全专家JeffSchmidt发现超过375,000台WindowsPC试图发送信息——包括尝试登录企业内部网络和访问网站上的特定共享文件。网络!一位曾与JAS合作过的知名攻击测试人员指出,在实验过程中,“泄露的证书如雨后春笋般倾盆而下”,是他一生中前所未有的壮观。施密特的结论是:无论谁最终控制了corp.com,都可能立即开箱即用地拥有一个遍布全球的企业计算机僵尸网络。那么,面对corp.com这种严重威胁客户网络安全和信息安全的“核脏弹”,微软为何不愿接手呢?对于一个四字顶级“优质”域名来说,似乎也算得上是“良心价”了。事实上,Microsoft多年来一直在努力消除corp.com的威胁,发布了多个软件更新以帮助客户减少命名空间冲突的可能性。但实际上这些缓解措施收效甚微,因为很少有企业听从微软的建议部署这些修复程序。这主要有两个原因:首先,这样做需要企业在一段时间内同时关闭其整个ActiveDirectory网络。其次,根据微软的说法,该补丁可能会破坏或减慢企业日常运行所依赖的许多应用程序。面对这两种情况中的任何一种,大多数受影响的公司不太可能冒更大的风险更新补丁以消除这种纸面风险。微软甚至试图收购corp.com。根据奥康纳的说法,微软的出价是20,000美元。对于像corp.com这样的四个字母的顶级“高级”域名,此优惠不是购买,而是抢购。虽然我们无从得知微软和corp.com域名持有者奥康纳之间从2月份到现在到底发生了什么,但是根据微软的说法,我们猜测微软应该是让步了,给奥康纳一个“合理的Buyout价格”,解除了悬在全球微软客户头上26年的“雷”。在回应Krebs关于收购corp.com域的询问时,微软发言人提供了以下信息:为了帮助保护系统,我们鼓励客户在规划内部域名和网络名称时遵循良好的安全实践。我们于2009年6月发布了安全公告,安全更新可帮助确保客户安全。作为我们对客户安全的持续承诺的一部分,我们还获得了corp.com域。最后,Krebs警告说corp.com可能只是冰山一角,从安全的角度来看,任何将公司内部网上的ActiveDirectory绑定到域的东西(编者注,即使当时不存在))它无法控制都是极其危险的行为。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
