下一顆不定時炸彈?可輕易竊取數十萬企業密碼的Corp.com網域要賣了!
網域名早期發明者Mike O’Conner在1994年時註冊了許多個很棒的網域名,如bar.com、cafes.com、grill.com、place.com、pub.com以及television.com等等。26年下來他也陸續賣掉一些,但是有一個網域名是O’Conner始終堅持不肯賣的,即corp.com。這個網域名很敏感,因為實驗顯示,只要能控制這個網域名,就能取得源源不絕、屬於全球數十萬家大型企業的系統密碼、郵件和其他私密資料。
Corp.com終究要出售
但是年屆70的O’Conner想清理他的資產,最近終於決定要出售corp.com了。雖然要價170萬美元,但對一個簡明又具有強烈企業意象的4字母網域來說,根本一點也不貴。O’Conner說他希望微軟(Microsoft Corp.)願意出手買下這個網域,但擔心微軟若不肯,而被某個組織犯罪份子或國家資助的駭客團體取得的話,恐怕將成西方企業的災難。
O’Conner點名微軟的原因是,Windows處理解析本機網域名稱的方法很特殊,使企業版Windows PC在不經意間就會將敏感資訊分享給corp.com。更重要的是,早期Windows版也鼓勵用戶使用不安全的設定,這又導致Windows電腦更容易把敏感資訊分享給corp.com。
原因出在域名空間衝突(namespace collision)的問題,這是指原本專屬於公司內網的網域名稱卻和可在開放網際網路上解析的網域名重疊。
Windows AD不安全的設定導致Corp.com有了特殊能力
在內網上的Windows電腦是利用微軟的Active Directory(AD)來驗證同個網路上的其他事物,AD是Windows環境下一群身份相關服務的總稱。這些服務找尋彼此的核心方法是藉由稱為DNS域名下放(name devolution)的Windows功能,它算是一種網路便捷作法,不用說明完整的合法網域即可找到其他電腦或伺服器。
簡單的說,這表示任何控管corp.com的人都能被動攔截數十萬台電腦的私密通訊,然後傳給以corp為AD網域命名的外部企業環境。
這是安全專家Jeff Schmidt 2019年在美國國土安全部贊助下做的一項DNS域名空間衝突的研究發現。Schmidt的研究也成功說服O’Conner暫緩出售corp.com,讓他和其他人做實驗,以便了解及紀錄每天因「迷路」而流向corp.com的流量及型態。
而8個月實驗資料的分析期間,Schmidt發現有超過37.5萬台沒生意往來的Windows PC試圖傳送資訊給corp.com網域,其中有人想試圖登入公司內網,存取這些網路上的檔案分享。
在本測試中,Schmidt的JAS Global Advisors接受了corp.com連線,模仿Windows本機網路處理登入及檔案分享。結果非常恐怖。一名接受委託的測試人員說他接獲「雪片般飛來的帳號密碼」,他說他從沒見過這麼恐怖的事。
Schmidt的公司JAS在大約一小時的測試中,接到1,200多萬封信。他說其中有些包含相當敏感的資料。他們15分鐘之內即決定暫停實驗,連分析都沒有就把整批資料銷毁。

Schmidt最後推斷,任何掌控corp.com的惡意人士可以很快就在企業網路上架起殭屍網路,只要進入企業就能橫向移動就可以控制數萬甚至數十萬台機器。「你想要駭入全球富比士兩千的前30大企業嗎?只要控制corp.com就辦得到。」他說。
微軟對Schmidt的corp.com實驗不願評論。但公司發言人指出,微軟的命名文件中有時的確參照corp標籤,因此微軟Technet文件在關於AD域名設定中,建議客戶應取得第二層網域名以避免流量被送到公開的網際網路上。
其實,這些年微軟也釋出過多次安全更新,以降低仰賴AD網域的企業發生域名空間衝突的安全風險。
但O’Connor和Schmdit都認為受影響的企業不太可能安裝修補程式。原因有二。一來這需要企業把整個AD網路同步下線一段時間;二來,安裝完修補程式後,多個應用程都會掛掉或至少變慢,大幅干擾日常公司運作。因此,大多數企業索性都抱著僥倖心理,告訴自己沒補漏洞應該沒關係吧。
有趣的是,Schmidt的實驗中也發現,因為某些電腦因為域名空間衝突問題而誤向corp.com發出查詢,這些電腦正是來自微軟內部網路。