Microsoft koopt domein Corp.com om klanten te beschermen

[Captain Kirk]

De domeinnaam Corp.com is na 26 jaar van eigenaar veranderd. Microsoft heeft de domeinnaam voor een niet nader bekendgemaakt bedrag overgenomen om zo te voorkomen dat gevoelige gegevens van klanten lekken. Het gaat dan met name om klanten die van Microsofts Active Directory gebruikmaken.

Voor het verwerken van interne url's gebruikt Active Directory een eigen domain name system (dns) in plaats van publieke dns-servers te gebruiken. Gebruikers op een intern bedrijfsnetwerk die een interne site opvragen worden door Active Directory naar de juiste locatie doorgestuurd. Wanneer de interne site niet is te vinden wordt het verzoek naar een publieke dns-server gestuurd. Voor interne sites kunnen organisaties daarnaast gebruikmaken van domeinnamen die niet bestaan of die ze niet bezitten.

Op zich is dit geen probleem, totdat een gebruiker de interne site van buiten het bedrijfsnetwerk probeert te benaderen. Bijvoorbeeld op een openbaar wifi-netwerk zonder van een vpn gebruik te maken. De interne site zal dan niet worden gevonden. Vervolgens kan het gebeuren dat de gebruiker onverwachts op een andere locatie terechtkomt omdat het domein in de publieke dns naar een andere partij wijst.

Dit wordt "namespace collision" genoemd en doet zich voor wanneer domeinnamen van het interne netwerk overlappen met domeinnamen die ook op het publieke internet zijn te vinden. Eerdere versies van Windows die Active Directory ondersteunden, zoals Windows 2000 Server, gebruikten "corp" en "corp.com" als het standaardpad voor interne sites. Veel bedrijven lieten deze instelling ongewijzigd in plaats van die aan te passen naar een domein dat in hun bezit was.

Wanneer een computer buiten het bedrijfsnetwerk nu dit domein zoekt, bijvoorbeeld om verbinding met services of gedeelde schijven te maken, wordt er verbinding gemaakt met het internetdomein Corp.com. Een bestaand domein. De eigenaar van Corp.com zou op deze manier allerlei vertrouwelijke communicatie van bedrijven kunnen ontvangen. Uit een vorig jaar uitgevoerd onderzoek bleek dat dit geen theoretisch risico was.

Tijdens het onderzoek naar intern bedrijfsverkeer bedoeld voor Corp.com in 2019 bleek dat meer dan 375.000 Windowscomputers informatie naar dit internetdomein probeerden te versturen terwijl dat niet de bedoeling was. Het ging onder andere om pogingen om op bedrijfsnetwerken in te loggen en specifieke gedeelde schijven op die netwerken te benaderen.

"Het was angstaanjagend", liet onderzoeker Jeff Schmidt begin dit jaar tegenover it-journalist Brian Krebs weten. "We stopten na vijftien minuten het experiment en vernietigden de data." Voor het onderzoek konden de onderzoekers verbindingen naar Corp.com accepteren. Ze zagen tal van inloggegevens voorbijkomen. Daarnaast configureerden de onderzoekers Corp.com om ook e-mail te accepteren. Na een uur hadden de onderzoekers meer dan twaalf miljoen e-mails ontvangen. In de meeste gevallen ging het om geautomatiseerde berichten, maar er zaten ook gevoelige berichten tussen. Ook deze dataset werd vernietigd.

De domeinnaam Corp.com was sinds 1994 in handen van Mike O’Connor. Die wilde er echter vanaf en vroeg er 1,7 miljoen dollar voor. "De eigenaar van Corp.com zou alle zoekopdrachten, inloggegevens en e-mailadressen van alle organisaties kunnen zien die Active Directory gebruiken", waarschuwde Fahmida Rashid van Duo Security. Er waren echter zorgen of Microsoft de domeinnaam wel voor dit bedrag wilde hebben. Het techbedrijf had volgens O'Connor een aantal jaren geleden 20.000 dollar geboden, een aanbod dat hij afsloeg. Vandaag meldt Krebs dat Microsoft de domeinnaam Corp.com heeft overgenomen.

"Om systemen te beschermen adviseren we klanten om bij het kiezen van interne domeinen en netwerknamen veilige keuzes te maken. We hebben in juni 2009 hier een security advisory over gepubliceerd en een beveiligingsupdate uitgebracht om klanten te beschermen. In onze inzet voor klantveiligheid hebben we ook het domein Corp.com verkregen", aldus een verklaring van Microsoft. Een bedrag is niet bekendgemaakt.

 

bron: security.nl