資安部落格Krebs on Security周二報導,微軟已經買下corp.com網域名稱,避免了一場資安專家擔心可能導致數百萬企業網路流量,被駭客劫持的災難。

2月間,資安專家Brian Krebs的部落格首先報導,網域名早期先驅Mike O'Conner因為邁入70高齡,打算出售他在1990年代註冊的網域名。O'Conner始終堅持不肯賣出corp.com,原因在牽涉數百萬企業的資安,corp.com的網域持有者,可以接收到來自全球數十萬家大型企業,經由網路流量傳來的系統密碼、郵件和其他機密資料。

但是O'Conner最後堅持不下去了,即將賣出corp.com網域,開價170萬美元,他說希望微軟能買下,若微軟不肯買下,而被某個組織犯罪份子或國家資助的駭客團體取得這個網域名的話,恐怕將成西方企業的災難。

Krebs解釋,原因出在域名空間衝突(namespace collision)的問題,導致類似DNS劫持(DNS Hijacking)的結果。首先,企業內網上的Windows電腦,是透過微軟的Active Directory(AD)來驗證同網路上的其他主機,而它們是利用Windows中稱為DNS域名下放(DNS name devolution)的功能找尋彼此,它算是一種簡易作法,不用說明完整的網域,即可找到其他電腦或伺服器。例如一臺在internalnetwork. example. com上的Windows電腦,想連上網路芳鄰上的磁碟drive1,用戶在檔案總管上輸入\\drive1\就好,不必打入drive1. internalnetwork. example. com,因為這段Windows會做掉。

其次,早期支援AD的Windows,例如Windows 2000 Server預設將AD路徑取為corp,而許多企業也都沿用,將corp包含在公司內網網域名,卻造成原本專屬於公司內網的網域名稱,卻和網際網路上解析的網域名混淆。這在企業內網愈建愈大,以及行動辦公室型態興起後,就會引發資安疑慮,例如一臺AD管轄的員工筆電在星巴克上網,其流量會「迷路」而從內網跑到網際網路上以corp.com為名的網域,這表示任何控管corp.com的人,都能被動攔截數十萬臺電腦的私密通訊內容,包括電子郵件、檔案。

安全專家Jeff Schmidt 2019年在美國國土安全部贊助下,做的一項DNS域名空間衝突的研究,他設了一個網域為corp. com的網站,結果大約一小時的測試中就接到1,200多萬封信,其中包含一些相當機密的企業資料。Schmidt結論說道,任何掌控corp. com的惡意人士,可以取得財星2000大企業的機密,且只要進入企業內網就能橫向移動,控制數萬甚至數十萬臺機器形成殭屍網路。

微軟本周發出聲明指出,為了保護系統安全,微軟建議用戶在規劃內部網域及網路名稱時,採行安全的作法,微軟也證實已買下corp.com網域。

微軟多年來數度釋出安全更新,避免域名衝突的可能性,新版Windows也不再有此問題。但是更新Windows一來需要將整個AD網域關閉一陣子,二來是更新後應用程式效能會下降,因此也有企業心存僥倖而未修補。

Krebs指出,微軟買下corp.com網域可說是最好的辦法。但他警告,如果企業AD網路名稱使用的是非自己所有的網域名,像是corp.com以外的網域,都可能碰到類似風險。


Advertisement

更多 iThome相關內容