Microsoft wykupił groźną domenę. Dla naszego dobra Strona główna Aktualności08.04.2020 23:00 Microsoft wykupił groźną domenę (fot. Pixabay) Udostępnij: O autorze Kamil J. Dudek @wielkipiec Dwa miesiące temu, w branży cyberbezpieczeństwa rozpoczęły się dyskusje na temat własności domeny corp.com. Brian Krebs zwrócił wtedy uwagę na to, że kończy się jej ważność, a jej dotychczasowy właściciel nie był zainteresowany dalszym inwestowaniem w nią. Oznaczało to, że domena zostanie wkrótce wystawiona na sprzedaż. Interesujący splot zaszłości historycznych sprawiał, że był to bardzo niebezpieczny scenariusz. Jeżeli miałbym zidentyfikować źródło odpowiedzialne za ukształtowanie moich preferencji w kwestii Windows Server, będzie to zdecydowanie niniejsza książka (fot. Kamil Dudek) Krótko mówiąc i podsumowując nasze poprzednie opracowanie problemu, domena corp.com jest często stosowana jako nazwa domeny w firmowych sieciach wewnętrznych. Gdy są one źle skonfigurowane (trwale lub chwilowo) i ruch z wewnętrznej sieci ma szansę trafić do internetu, domena corp.com może stać się adresatem ruchu infrastrukturalnego, właściwego dla sieci w firmie. Ruch taki zakłada, ze względu na sturkturę warstwową, że strony biorące udział w komunikacji są zaufane. Kolizje DNS W przypadku wdrożeń usług Active Directory systemu Windows Server, zastosowanie nazwy domeny "corp.com" i wyprowadzenie ruchu do internetu może sprawić, że część zapytań do kontrolera domeny stanie się tak naprawdę zapytaniami do obcego serwera w internecie. W ten sposób, serwer podpięty pod feralną domenę może zacząć otrzymywać próby logowania i odświeżania poświadczeń, najeżone (aktualnymi!) hasłami, nazwami użytkownika i identyfikatorami kont komputerów. Wystarczy trochę posłuchać ruchu sieciowego do corp.com, żeby zdobyć tuziny ważnych danych logowania, maili, dokumentów do wydruku i tak dalej. Na szczęście domenę zdecydował się kupić Microsoft, autor rozwiązania Active Directory, którego tak częsta, błędna konfiguracja wywołuje masowy wyciek haseł do internetu. Całkiem możliwe, że robi to z obowiązku, a nie z uprzejmości. Globalny krach wdrożeń Active Directory, kluczowego narzędzia w wielu firmach, zestawiony z rozkręcającym się kryzysem gospodarczym, byłby bardzo dotkliwym ciosem wizerunkowym dla Microsoftu, przy okazji dość mocno obciążając firmowe serwisy pomocy technicznej. Pokonani przez własny podręcznik Ale jest też inny powód. Zanim w swoich przykładach Microsoft zaczał stosować wszędzie domenę "contoso.com", w swoich dokumentach, materiałach szkoleniowych i podręcznikach Resource Kit wykorzystywano właśnie nazwę corp.com. Całe scenariusze wdrożeń domeny o nazwie CORP, zaopatrzone w adnotację, że to tylko wewnętrzna nazwa na potrzeby DNS-a w sieci LAN, zaowocowały wieloma lasami CORP w firmach na całym świecie. Microsoft już od piętnastu lat informuje, jakie są najlepsze praktyki wdrożeń DNS na potrzeby Active Directory i oferuje programowe aktualizacje implementacji NetBIOS, LLMNR i DNSSec aby uniknąć kolizji nazw. Ale wcale nie jest łatwo naprawić instancji, które popsuto wiele lat wcześniej. Ciężko zatrzymać IT całej firmy żeby sobie postawić AD na nowo, bo poprzedni admin odpalił dcpromo i przeklikał "Dalej" dwanaście razy. Domena corp.com nie hostuje obecnie żadnego serwisu. Pod owym adresem pracuje jedynie serwer IIS 7.5, zgłaszający błąd. Strona stoi zatem na systemie Windows Server 2008 R2, który wspracia dla aktualiacji bezpieczeństwa utracił trzy miesiące temu 😁 Oprogramowanie Bezpieczeństwo IT.Pro Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Nowości w działaniu wirusów. Wkrótce DNS-over-HTTPS wywoła wiele problemów 4 wrz 2020 Kamil J. Dudek Oprogramowanie Bezpieczeństwo IT.Pro 43 Windows 10 i "Łatkowy Wtorek" września: 20 krytycznych dziur w produktach Microsoftu 8 wrz 2020 Kamil J. Dudek Oprogramowanie Bezpieczeństwo IT.Pro 142 Nadmiar wygody szkodzi prywatności: wyciek danych wyszukiwania w głównych przeglądarkach 16 cze 2020 Kamil J. Dudek Oprogramowanie Bezpieczeństwo IT.Pro 74 Windows 10 otrzymuje klienta DNS-over-HTTPS. Na razie tylko w Insider Preview 13 maj 2020 Kamil J. Dudek Internet IT.Pro 42
Udostępnij: O autorze Kamil J. Dudek @wielkipiec Dwa miesiące temu, w branży cyberbezpieczeństwa rozpoczęły się dyskusje na temat własności domeny corp.com. Brian Krebs zwrócił wtedy uwagę na to, że kończy się jej ważność, a jej dotychczasowy właściciel nie był zainteresowany dalszym inwestowaniem w nią. Oznaczało to, że domena zostanie wkrótce wystawiona na sprzedaż. Interesujący splot zaszłości historycznych sprawiał, że był to bardzo niebezpieczny scenariusz. Jeżeli miałbym zidentyfikować źródło odpowiedzialne za ukształtowanie moich preferencji w kwestii Windows Server, będzie to zdecydowanie niniejsza książka (fot. Kamil Dudek) Krótko mówiąc i podsumowując nasze poprzednie opracowanie problemu, domena corp.com jest często stosowana jako nazwa domeny w firmowych sieciach wewnętrznych. Gdy są one źle skonfigurowane (trwale lub chwilowo) i ruch z wewnętrznej sieci ma szansę trafić do internetu, domena corp.com może stać się adresatem ruchu infrastrukturalnego, właściwego dla sieci w firmie. Ruch taki zakłada, ze względu na sturkturę warstwową, że strony biorące udział w komunikacji są zaufane. Kolizje DNS W przypadku wdrożeń usług Active Directory systemu Windows Server, zastosowanie nazwy domeny "corp.com" i wyprowadzenie ruchu do internetu może sprawić, że część zapytań do kontrolera domeny stanie się tak naprawdę zapytaniami do obcego serwera w internecie. W ten sposób, serwer podpięty pod feralną domenę może zacząć otrzymywać próby logowania i odświeżania poświadczeń, najeżone (aktualnymi!) hasłami, nazwami użytkownika i identyfikatorami kont komputerów. Wystarczy trochę posłuchać ruchu sieciowego do corp.com, żeby zdobyć tuziny ważnych danych logowania, maili, dokumentów do wydruku i tak dalej. Na szczęście domenę zdecydował się kupić Microsoft, autor rozwiązania Active Directory, którego tak częsta, błędna konfiguracja wywołuje masowy wyciek haseł do internetu. Całkiem możliwe, że robi to z obowiązku, a nie z uprzejmości. Globalny krach wdrożeń Active Directory, kluczowego narzędzia w wielu firmach, zestawiony z rozkręcającym się kryzysem gospodarczym, byłby bardzo dotkliwym ciosem wizerunkowym dla Microsoftu, przy okazji dość mocno obciążając firmowe serwisy pomocy technicznej. Pokonani przez własny podręcznik Ale jest też inny powód. Zanim w swoich przykładach Microsoft zaczał stosować wszędzie domenę "contoso.com", w swoich dokumentach, materiałach szkoleniowych i podręcznikach Resource Kit wykorzystywano właśnie nazwę corp.com. Całe scenariusze wdrożeń domeny o nazwie CORP, zaopatrzone w adnotację, że to tylko wewnętrzna nazwa na potrzeby DNS-a w sieci LAN, zaowocowały wieloma lasami CORP w firmach na całym świecie. Microsoft już od piętnastu lat informuje, jakie są najlepsze praktyki wdrożeń DNS na potrzeby Active Directory i oferuje programowe aktualizacje implementacji NetBIOS, LLMNR i DNSSec aby uniknąć kolizji nazw. Ale wcale nie jest łatwo naprawić instancji, które popsuto wiele lat wcześniej. Ciężko zatrzymać IT całej firmy żeby sobie postawić AD na nowo, bo poprzedni admin odpalił dcpromo i przeklikał "Dalej" dwanaście razy. Domena corp.com nie hostuje obecnie żadnego serwisu. Pod owym adresem pracuje jedynie serwer IIS 7.5, zgłaszający błąd. Strona stoi zatem na systemie Windows Server 2008 R2, który wspracia dla aktualiacji bezpieczeństwa utracił trzy miesiące temu 😁 Oprogramowanie Bezpieczeństwo IT.Pro Udostępnij: © dobreprogramy Zgłoś błąd w publikacji