吳明宜微軟出手買下Corp.com網域 從此不怕網際網路開大洞
看倌們還記得2月間KrebsonSecurity報導網路先驅Mike O’Conner將拍賣Corp.com網域名的事情嗎?這個網域名相當危險,因為專家測試顯示,誰能擁有這個網域名,就能掌握全球大型企業數百萬台Windows PC傳來的密碼、電子郵件或私密資料。本周這個危機有了最好的結果:微軟同意買下這個網域名,以免落入有心人士之手。
O’Conner 26年前買下corp.com。二月時他說希望微軟能買下它,因為成千上萬台Windows電腦仍一直不斷把資料分享給corp.com。而且早期版本的Windows甚至鼓勵企業使用不安全的網域設定,使Windows電腦誤傳資料給corp.com的問題雪上加霜。
危險何在?
稍稍回顧一下原因。問題元兇是域名空間衝突(namespace collision),這是指原本專屬於公司內網的網域名稱卻和開放網際網路上解析的網域名重疊。
公司內部網路上的Windows PC透過Active Directory (AD)來驗證其他主機,它們是利用名為DNS域名下放(DNS name devolution)的Windows 功能來尋找彼此。這是一種網址縮寫,讓用戶連結網路資源時無需輸入完整的網址。例如一家公司內部網路名稱為internalnetwork.example.com,而內網上的員工想連上網路磁碟,姑且稱之為drive1,員工不需輸入drive1.internalnetwork.example.com電腦,只要在執行列輸入\\drive1\即可,Windows會幫你處理其他的。<!–
–>
但內網Windows網域並不會對映到公司持有的第二層網域。又,早期版本支援AD的Windows,預設將AD路徑取名為corp,而許多公司也沒有改,就把它用在自己的網域中。然後有些企業網路就在這種錯誤設定基礎上愈長愈大。
原本這也不打緊,畢竟早期大家都是用桌機,也不會離開內網。但是這在筆電出現後情況就變了:網路路徑為corp的AD群組下的筆電,被一名員工拿到星巴克用Wi-Fi上網,員工可能還是要連回corp網域,但是因為DNS域名混淆的結果,讓這台筆電連到了網際網路上位於corp.com的主機。
這表示,任何持有corp.com網域的伺服器就可以被動攔截全球數十萬、數百萬台電腦的隱私通訊,造成這些AD網域的電腦的通訊內容傳到不知名的人手上。
安全專家Jeff Schmidt 2019年在美國國土安全部贊助下做的一項研究顯示,有數十萬台電腦不斷想向Corp.com網域傳送資訊,包括嘗試登入公司內網,或存取網路上某些檔案。
O’Conner說,他持有該網域26年來什麼也沒做,但他年紀漸長,又不想讓子孫接下這個爛攤子,所以想把它賣了。本周一他說微軟同意買下這個網域。O’Conner透露的資訊僅只於此,也未說明微軟購買的價格。
微軟方面則發出聲明稿,表示該公司是為客戶買下這個網域。
微軟說,為保護系統安全,鼓勵客戶在規劃內部網域及網路名稱時,採取良好的資安習慣,他們也在2009年6月發佈安全公告及Windows安全更新。微軟也承認已買下Corp.com網域。
微軟多次發佈軟體更新以減少公司AD網域及他們實際掌控的網域名的衝突,但安全專家說很少有企業部署。理由有二,一是這需要將整個AD網域關閉一段時間,第二原因是修補程式會造成連網應用當掉,或是效能降低,大大影響日常作業。因此企業只好冒著硬著頭皮不更新。
值得一提的是,微軟買下Corp.com 網域的確能保護在corp/corp.com上架AD架構的企業,但是只要企業的內網AD用的還是他們無法掌控的網域(不只是corp.com),就仍然無法擺脫類似的安全夢魘。