下一顆不定時炸彈?可輕易竊取數十萬企業密碼的 Corp.com 網域要賣了!
網域名早期發明者 Mike O’Conner 在 1994 年時註冊了許多個很棒的網域名,如 bar.com、cafes.com、grill.com、place.com、pub.com 以及 television.com 等等。26 年下來他也陸續賣掉一些,但是有一個網域名是 O’Conner 始終堅持不肯賣的,即 corp.com。這個網域名很敏感,因為實驗顯示,只要能控制這個網域名,就能取得源源不絕、屬於全球數十萬家大型企業的系統密碼、郵件和其他私密資料。
Corp.com 終究要出售
但是年屆 70 的 O’Conner 想清理他的資產,最近終於決定要出售 corp.com 了。雖然要價 170 萬美元,但對一個簡明又具有強烈企業意象的 4 字母網域來說,根本一點也不貴。O’Conner 說他希望微軟(Microsoft Corp.)願意出手買下這個網域,但擔心微軟若不肯,而被某個組織犯罪份子或國家資助的駭客團體取得的話,恐怕將成西方企業的災難。
O’Conner 點名微軟的原因是,Windows 處理解析本機網域名稱的方法很特殊,使企業版 Windows PC 在不經意間就會將敏感資訊分享給 corp.com。更重要的是,早期 Windows 版也鼓勵用戶使用不安全的設定,這又導致 Windows 電腦更容易把敏感資訊分享給 corp.com。
原因出在域名空間衝突 (namespace collision) 的問題,這是指原本專屬於公司內網的網域名稱卻和可在開放網際網路上解析的網域名重疊。
Windows AD 不安全的設定導致 Corp.com 有了特殊能力
在內網上的 Windows 電腦是利用微軟的 Active Directory(AD)來驗證同個網路上的其他事物,AD 是 Windows 環境下一群身份相關服務的總稱。這些服務找尋彼此的核心方法是藉由稱為 DNS 域名下放(name devolution)的 Windows 功能,它算是一種網路便捷作法,不用說明完整的合法網域即可找到其他電腦或伺服器。
簡單的說,這表示任何控管 corp.com 的人都能被動攔截數十萬台電腦的私密通訊,然後傳給以 corp 為 AD 網域命名的外部企業環境。
這是安全專家 Jeff Schmidt 2019 年在美國國土安全部贊助下做的一項 DNS 域名空間衝突的研究發現。Schmidt 的研究也成功說服 O’Conner 暫緩出售 corp.com,讓他和其他人做實驗,以便了解及紀錄每天因「迷路」而流向 corp.com 的流量及型態。
而 8 個月實驗資料的分析期間,Schmidt 發現有超過 37.5 萬台沒生意往來的 Windows PC 試圖傳送資訊給 corp.com 網域,其中有人想試圖登入公司內網,存取這些網路上的檔案分享。
在本測試中,Schmidt 的 JAS Global Advisors 接受了 corp.com 連線,模仿 Windows 本機網路處理登入及檔案分享。結果非常恐怖。一名接受委託的測試人員說他接獲「雪片般飛來的帳號密碼」,他說他從沒見過這麼恐怖的事。
Schmidt 的公司 JAS 在大約一小時的測試中,接到 1,200 多萬封信。他說其中有些包含相當敏感的資料。他們 15 分鐘之內即決定暫停實驗,連分析都沒有就把整批資料銷毁。

Schmidt 最後推斷,任何掌控 corp.com 的惡意人士可以很快就在企業網路上架起殭屍網路,只要進入企業就能橫向移動就可以控制數萬甚至數十萬台機器。「你想要駭入全球富比士兩千的前 30 大企業嗎?只要控制 corp.com 就辦得到。」他說。
微軟對 Schmidt 的 corp.com 實驗不願評論。但公司發言人指出,微軟的命名文件中有時的確參照 corp 標籤,因此微軟 Technet 文件在關於 AD 域名設定中,建議客戶應取得第二層網域名以避免流量被送到公開的網際網路上。
其實,這些年微軟也釋出過多次安全更新,以降低仰賴 AD 網域的企業發生域名空間衝突的安全風險。
但 O’Connor 和 Schmdit 都認為受影響的企業不太可能安裝修補程式。原因有二。一來這需要企業把整個 AD 網路同步下線一段時間;二來,安裝完修補程式後,多個應用程都會掛掉或至少變慢,大幅干擾日常公司運作。因此,大多數企業索性都抱著僥倖心理,告訴自己沒補漏洞應該沒關係吧。
有趣的是,Schmidt 的實驗中也發現,因為某些電腦因為域名空間衝突問題而誤向 corp.com 發出查詢,這些電腦正是來自微軟內部網路。