吳明宜微軟出手買下 Corp.com 網域 從此不怕網際網路開大洞
看倌們還記得 2 月間 KrebsonSecurity 報導網路先驅 Mike O’Conner 將拍賣 Corp.com 網域名的事情嗎?這個網域名相當危險,因為專家測試顯示,誰能擁有這個網域名,就能掌握全球大型企業數百萬台 Windows PC 傳來的密碼、電子郵件或私密資料。本周這個危機有了最好的結果:微軟同意買下這個網域名,以免落入有心人士之手。
O’Conner 26 年前買下 corp.com。二月時他說希望微軟能買下它,因為成千上萬台 Windows 電腦仍一直不斷把資料分享給 corp.com。而且早期版本的 Windows 甚至鼓勵企業使用不安全的網域設定,使 Windows 電腦誤傳資料給 corp.com 的問題雪上加霜。
危險何在?
稍稍回顧一下原因。問題元兇是域名空間衝突(namespace collision),這是指原本專屬於公司內網的網域名稱卻和開放網際網路上解析的網域名重疊。
公司內部網路上的 Windows PC 透過 Active Directory (AD) 來驗證其他主機,它們是利用名為 DNS 域名下放(DNS name devolution)的 Windows 功能來尋找彼此。這是一種網址縮寫,讓用戶連結網路資源時無需輸入完整的網址。例如一家公司內部網路名稱為 internalnetwork.example.com,而內網上的員工想連上網路磁碟,姑且稱之為 drive1,員工不需輸入 drive1.internalnetwork.example.com 電腦,只要在執行列輸入\\drive1\即可,Windows 會幫你處理其他的。<!–
–>
但內網 Windows 網域並不會對映到公司持有的第二層網域。又,早期版本支援 AD 的 Windows,預設將 AD 路徑取名為 corp,而許多公司也沒有改,就把它用在自己的網域中。然後有些企業網路就在這種錯誤設定基礎上愈長愈大。
原本這也不打緊,畢竟早期大家都是用桌機,也不會離開內網。但是這在筆電出現後情況就變了:網路路徑為 corp 的 AD 群組下的筆電,被一名員工拿到星巴克用 Wi-Fi 上網,員工可能還是要連回 corp 網域,但是因為 DNS 域名混淆的結果,讓這台筆電連到了網際網路上位於 corp.com 的主機。
這表示,任何持有 corp.com 網域的伺服器就可以被動攔截全球數十萬、數百萬台電腦的隱私通訊,造成這些 AD 網域的電腦的通訊內容傳到不知名的人手上。
安全專家 Jeff Schmidt 2019 年在美國國土安全部贊助下做的一項研究顯示,有數十萬台電腦不斷想向 Corp.com 網域傳送資訊,包括嘗試登入公司內網,或存取網路上某些檔案。
O’Conner 說,他持有該網域 26 年來什麼也沒做,但他年紀漸長,又不想讓子孫接下這個爛攤子,所以想把它賣了。本周一他說微軟同意買下這個網域。O’Conner 透露的資訊僅只於此,也未說明微軟購買的價格。
微軟方面則發出聲明稿,表示該公司是為客戶買下這個網域。
微軟說,為保護系統安全,鼓勵客戶在規劃內部網域及網路名稱時,採取良好的資安習慣,他們也在 2009 年 6 月發佈安全公告及 Windows 安全更新。微軟也承認已買下 Corp.com 網域。
微軟多次發佈軟體更新以減少公司 AD 網域及他們實際掌控的網域名的衝突,但安全專家說很少有企業部署。理由有二,一是這需要將整個 AD 網域關閉一段時間,第二原因是修補程式會造成連網應用當掉,或是效能降低,大大影響日常作業。因此企業只好冒著硬著頭皮不更新。
值得一提的是,微軟買下 Corp.com 網域的確能保護在 corp/corp.com 上架 AD 架構的企業,但是只要企業的內網 AD 用的還是他們無法掌控的網域(不只是 corp.com),就仍然無法擺脫類似的安全夢魘。