Microsoft wykupił groźną domenę. Dla naszego dobra

Dwa miesiące temu, w branży cyberbezpieczeństwa rozpoczęły się dyskusje na temat własności domeny corp.com. Brian Krebs zwrócił wtedy uwagę na to, że kończy się jej ważność, a jej dotychczasowy właściciel nie był zainteresowany dalszym inwestowaniem w nią. Oznaczało to, że domena zostanie wkrótce wystawiona na sprzedaż. Interesujący splot zaszłości historycznych sprawiał, że był to bardzo niebezpieczny scenariusz.[img=IMG_20200408_225743]Krótko mówiąc i podsumowując nasze poprzednie opracowanie problemu, domena corp.com jest często stosowana jako nazwa domeny w firmowych sieciach wewnętrznych. Gdy są one źle skonfigurowane (trwale lub chwilowo) i ruch z wewnętrznej sieci ma szansę trafić do internetu, domena corp.com może stać się adresatem ruchu infrastrukturalnego, właściwego dla sieci w firmie. Ruch taki zakłada, ze względu na sturkturę warstwową, że strony biorące udział w komunikacji są zaufane.

W przypadku wdrożeń usług Active Directory systemu Windows Server, zastosowanie nazwy domeny "corp.com" i wyprowadzenie ruchu do internetu może sprawić, że część zapytań do kontrolera domeny stanie się tak naprawdę zapytaniami do obcego serwera w internecie. W ten sposób, serwer podpięty pod feralną domenę może zacząć otrzymywać próby logowania i odświeżania poświadczeń, najeżone (aktualnymi!) hasłami, nazwami użytkownika i identyfikatorami kont komputerów. Wystarczy trochę posłuchać ruchu sieciowego do corp.com, żeby zdobyć tuziny ważnych danych logowania, maili, dokumentów do wydruku i tak dalej.

Na szczęście domenę zdecydował się kupić Microsoft, autor rozwiązania Active Directory, którego tak częsta, błędna konfiguracja wywołuje masowy wyciek haseł do internetu. Całkiem możliwe, że robi to z obowiązku, a nie z uprzejmości. Globalny krach wdrożeń Active Directory, kluczowego narzędzia w wielu firmach, zestawiony z rozkręcającym się kryzysem gospodarczym, byłby bardzo dotkliwym ciosem wizerunkowym dla Microsoftu, przy okazji dość mocno obciążając firmowe serwisy pomocy technicznej.

Ale jest też inny powód. Zanim w swoich przykładach Microsoft zaczał stosować wszędzie domenę "contoso.com", w swoich dokumentach, materiałach szkoleniowych i podręcznikach Resource Kit wykorzystywano właśnie nazwę corp.com. Całe scenariusze wdrożeń domeny o nazwie CORP, zaopatrzone w adnotację, że to tylko wewnętrzna nazwa na potrzeby DNS-a w sieci LAN, zaowocowały wieloma lasami CORP w firmach na całym świecie.

Microsoft już od piętnastu lat informuje, jakie są najlepsze praktyki wdrożeń DNS na potrzeby Active Directory i oferuje programowe aktualizacje implementacji NetBIOS, LLMNR i DNSSec aby uniknąć kolizji nazw. Ale wcale nie jest łatwo naprawić instancji, które popsuto wiele lat wcześniej. Ciężko zatrzymać IT całej firmy żeby sobie postawić AD na nowo, bo poprzedni admin odpalił dcpromo i przeklikał "Dalej" dwanaście razy.

Domena corp.com nie hostuje obecnie żadnego serwisu. Pod owym adresem pracuje jedynie serwer IIS 7.5, zgłaszający błąd. Strona stoi zatem na systemie Windows Server 2008 R2, który wspracia dla aktualiacji bezpieczeństwa utracił trzy miesiące temu 😁