image

Microsoft koopt domein Corp.com om klanten te beschermen

dinsdag 7 april 2020, 17:45 door Redactie, 17 reacties

De domeinnaam Corp.com is na 26 jaar van eigenaar veranderd. Microsoft heeft de domeinnaam voor een niet nader bekendgemaakt bedrag overgenomen om zo te voorkomen dat gevoelige gegevens van klanten lekken. Het gaat dan met name om klanten die van Microsofts Active Directory gebruikmaken.

Voor het verwerken van interne url's gebruikt Active Directory een eigen domain name system (dns) in plaats van publieke dns-servers te gebruiken. Gebruikers op een intern bedrijfsnetwerk die een interne site opvragen worden door Active Directory naar de juiste locatie doorgestuurd. Wanneer de interne site niet is te vinden wordt het verzoek naar een publieke dns-server gestuurd. Voor interne sites kunnen organisaties daarnaast gebruikmaken van domeinnamen die niet bestaan of die ze niet bezitten.

Op zich is dit geen probleem, totdat een gebruiker de interne site van buiten het bedrijfsnetwerk probeert te benaderen. Bijvoorbeeld op een openbaar wifi-netwerk zonder van een vpn gebruik te maken. De interne site zal dan niet worden gevonden. Vervolgens kan het gebeuren dat de gebruiker onverwachts op een andere locatie terechtkomt omdat het domein in de publieke dns naar een andere partij wijst.

Dit wordt "namespace collision" genoemd en doet zich voor wanneer domeinnamen van het interne netwerk overlappen met domeinnamen die ook op het publieke internet zijn te vinden. Eerdere versies van Windows die Active Directory ondersteunden, zoals Windows 2000 Server, gebruikten "corp" en "corp.com" als het standaardpad voor interne sites. Veel bedrijven lieten deze instelling ongewijzigd in plaats van die aan te passen naar een domein dat in hun bezit was.

Wanneer een computer buiten het bedrijfsnetwerk nu dit domein zoekt, bijvoorbeeld om verbinding met services of gedeelde schijven te maken, wordt er verbinding gemaakt met het internetdomein Corp.com. Een bestaand domein. De eigenaar van Corp.com zou op deze manier allerlei vertrouwelijke communicatie van bedrijven kunnen ontvangen. Uit een vorig jaar uitgevoerd onderzoek bleek dat dit geen theoretisch risico was.

Tijdens het onderzoek naar intern bedrijfsverkeer bedoeld voor Corp.com in 2019 bleek dat meer dan 375.000 Windowscomputers informatie naar dit internetdomein probeerden te versturen terwijl dat niet de bedoeling was. Het ging onder andere om pogingen om op bedrijfsnetwerken in te loggen en specifieke gedeelde schijven op die netwerken te benaderen.

"Het was angstaanjagend", liet onderzoeker Jeff Schmidt begin dit jaar tegenover it-journalist Brian Krebs weten. "We stopten na vijftien minuten het experiment en vernietigden de data." Voor het onderzoek konden de onderzoekers verbindingen naar Corp.com accepteren. Ze zagen tal van inloggegevens voorbijkomen. Daarnaast configureerden de onderzoekers Corp.com om ook e-mail te accepteren. Na een uur hadden de onderzoekers meer dan twaalf miljoen e-mails ontvangen. In de meeste gevallen ging het om geautomatiseerde berichten, maar er zaten ook gevoelige berichten tussen. Ook deze dataset werd vernietigd.

De domeinnaam Corp.com was sinds 1994 in handen van Mike O’Connor. Die wilde er echter vanaf en vroeg er 1,7 miljoen dollar voor. "De eigenaar van Corp.com zou alle zoekopdrachten, inloggegevens en e-mailadressen van alle organisaties kunnen zien die Active Directory gebruiken", waarschuwde Fahmida Rashid van Duo Security. Er waren echter zorgen of Microsoft de domeinnaam wel voor dit bedrag wilde hebben. Het techbedrijf had volgens O'Connor een aantal jaren geleden 20.000 dollar geboden, een aanbod dat hij afsloeg. Vandaag meldt Krebs dat Microsoft de domeinnaam Corp.com heeft overgenomen.

"Om systemen te beschermen adviseren we klanten om bij het kiezen van interne domeinen en netwerknamen veilige keuzes te maken. We hebben in juni 2009 hier een security advisory over gepubliceerd en een beveiligingsupdate uitgebracht om klanten te beschermen. In onze inzet voor klantveiligheid hebben we ook het domein Corp.com verkregen", aldus een verklaring van Microsoft. Een bedrag is niet bekendgemaakt.

Reacties (17)
07-04-2020, 18:55 door Anoniem
"De eigenaar van Corp.com zou alle zoekopdrachten, inloggegevens en e-mailadressen van alle organisaties kunnen zien die Active Directory gebruiken", waarschuwde Fahmida Rashid van Duo Security.

Echt joh?? Is dat een nepdeskundige of is het hier alleen verkeerd weergegeven? In die gelinkte pagina zie ik dat in
ieder geval niet staan.
07-04-2020, 19:13 door Anoniem
Kost wat, maar dan heb je ook wat... Een domein....
07-04-2020, 20:14 door The FOSS
Op zich is dit geen probleem, totdat een gebruiker de interne site van buiten het bedrijfsnetwerk probeert te benaderen. Bijvoorbeeld op een openbaar wifi-netwerk zonder van een vpn gebruik te maken. De interne site zal dan niet worden gevonden. Vervolgens kan het gebeuren dat de gebruiker onverwachts op een andere locatie terechtkomt omdat het domein in de publieke dns naar een andere partij wijst.

Dit wordt "namespace collision" genoemd en doet zich voor wanneer domeinnamen van het interne netwerk overlappen met domeinnamen die ook op het publieke internet zijn te vinden. Eerdere versies van Windows die Active Directory ondersteunden, zoals Windows 2000 Server, gebruikten "corp" en "corp.com" als het standaardpad voor interne sites. Veel bedrijven lieten deze instelling ongewijzigd in plaats van die aan te passen naar een domein dat in hun bezit was.

Netjes van Microsoft om met deze workaround domeinaankoop dit probleem op te lossen.
07-04-2020, 20:38 door Anoniem
Door Anoniem:
"De eigenaar van Corp.com zou alle zoekopdrachten, inloggegevens en e-mailadressen van alle organisaties kunnen zien die Active Directory gebruiken", waarschuwde Fahmida Rashid van Duo Security.

Echt joh?? Is dat een nepdeskundige of is het hier alleen verkeerd weergegeven? In die gelinkte pagina zie ik dat in
ieder geval niet staan.

Eh.... staat er gewoon hoor.... "Whoever owns corp.com could potentially see all the searches, login credentials, and email addresses from all the organizations around the world using Active Directory."
07-04-2020, 21:02 door karma4
Door Anoniem: Kost wat, maar dan heb je ook wat... Een domein....
Waarschijnlijk goedkoper dan proberen die eigenwijze gebruikers proberen op te voeden.
Met die gebruikers bedoel ik de beslissers en ICT beheerders die voor de snelle goedkope klik klik aanpak gaan in plaats van te begrijpen waarom iets anders zou moeten.
07-04-2020, 21:12 door souplost - Bijgewerkt: 07-04-2020, 21:14
Eerdere versies van Windows die Active Directory ondersteunden, zoals Windows 2000 Server, gebruikten "corp" en "corp.com
De ambitie van microsoft was dat iedereen met een passport onder corp.com via het MS netwerk zou vallen. microsoft begaf zich pas op het internet toen met Netscape windows onbelangrijk dreigde te worden. Gebeurd nu vaker bij MS dat gemaakte keuzes innovatie/security in de weg zit. Hoe lang heeft het geduurd dat de belachelijke 8.3 filename opgeruimd kon worden en die idiote drive letters zitten er nog steeds in. De C van root of home. Misschien dat de backslash ook ooit nog eens een slash wordt. Gelijk even Case sensitivity aanzetten. Ook zo'n handig dingetje om te communiceren naar de buitenwereld.
07-04-2020, 21:17 door souplost
Door karma4:
Door Anoniem: Kost wat, maar dan heb je ook wat... Een domein....
Waarschijnlijk goedkoper dan proberen die eigenwijze gebruikers proberen op te voeden.
Met die gebruikers bedoel ik de beslissers en ICT beheerders die voor de snelle goedkope klik klik aanpak gaan in plaats van te begrijpen waarom iets anders zou moeten.
Aha volgens onze windows fan ligt het weer aan de beheerder. Standard verhaal. Het ligt nooit aan MS. Je had namelijk moeten weten dat Microsoft ook geen raad weet met default windows instellingen.
07-04-2020, 21:56 door Anoniem
Door Anoniem:
Door Anoniem:
"De eigenaar van Corp.com zou alle zoekopdrachten, inloggegevens en e-mailadressen van alle organisaties kunnen zien die Active Directory gebruiken", waarschuwde Fahmida Rashid van Duo Security.

Echt joh?? Is dat een nepdeskundige of is het hier alleen verkeerd weergegeven? In die gelinkte pagina zie ik dat in
ieder geval niet staan.

Eh.... staat er gewoon hoor.... "Whoever owns corp.com could potentially see all the searches, login credentials, and email addresses from all the organizations around the world using Active Directory."

Ok, kennelijk overheen gelezen. NEPdeskundige dus, meer uit op publiciteit dan op de waarheid.
Zoals er zoveel rondlopen.
08-04-2020, 08:37 door karma4
Door souplost:
Aha volgens onze windows fan ligt het weer aan de beheerder. Standard verhaal. Het ligt nooit aan MS. Je had namelijk moeten weten dat Microsoft ook geen raad weet met default windows instellingen.
Is ook letterlijk zo beschreven. Leg maar eens uit waarom elk bedrijf corp.com zou moeten heten dan wel acme.com. Je hebt kennelijk nooit met IP DNS vraagstukken te maken gehad.
Ik heb niets met microsoft, ik maak me meer druk over informatieveiligheid. Je geeft in je reactie duidelijk aan waarom Linux evangelisten zo'n groot probleem zijn om iets veilig te krigen.
- hard code user-ids passwords admin:admin het ligt aan de applicatie, nooit aan de faal met een OS.
- Dns firewalls die niet goed veilig staan, het ligt aan een ander
Tja de s in IOT en Linux Torvald Redhat staat voor security, ofwel het ontbreekt. z/OS windows Microsoft, die s is er tenminste.
08-04-2020, 09:35 door Anoniem
En, hoeveel hebben ze nou helemaal betaald? Dat is ongeveer het enige interessante. microsoft heeft hier z'n neus hard gestoten door hun beleid gewoon niet op orde te hebben, al jarenlang niet, en hoeveel mag dat kosten?
08-04-2020, 10:47 door Anoniem
Door karma4:
Door souplost:
Aha volgens onze windows fan ligt het weer aan de beheerder. Standard verhaal. Het ligt nooit aan MS. Je had namelijk moeten weten dat Microsoft ook geen raad weet met default windows instellingen.
Is ook letterlijk zo beschreven. Leg maar eens uit waarom elk bedrijf corp.com zou moeten heten dan wel acme.com. Je hebt kennelijk nooit met IP DNS vraagstukken te maken gehad.
Nou daar heeft Microsoft anders zelf ook wel een puinhoop van gemaakt, in de tijd dat ze nog niet zoveel van IP en internet
begrepen!
Wij hebben bijvoorbeeld als AD domein naam dezelfde naam als onze internet domeinnaam, nou ik kan je verzekeren
dat dat OOK geen pretje is soms. Je hebt dan niet het probleem wat men hier schetst, maar wel altijd problemen met
een split-DNS omgeving waar je allerlei truukjes in moet uithalen en waarin je basis DNS naam als naam van bijv een
website nooit gaat werken op je eigen netwerk.
Daarom gebruiken veel bedrijven een of ander fake domein als hun AD domein naam, en begint het hellende vlak.
08-04-2020, 11:29 door Anoniem
Door souplost:
Eerdere versies van Windows die Active Directory ondersteunden, zoals Windows 2000 Server, gebruikten "corp" en "corp.com
De ambitie van microsoft was dat iedereen met een passport onder corp.com via het MS netwerk zou vallen. microsoft begaf zich pas op het internet toen met Netscape windows onbelangrijk dreigde te worden. Gebeurd nu vaker bij MS dat gemaakte keuzes innovatie/security in de weg zit. Hoe lang heeft het geduurd dat de belachelijke 8.3 filename opgeruimd kon worden en die idiote drive letters zitten er nog steeds in. De C van root of home. Misschien dat de backslash ook ooit nog eens een slash wordt. Gelijk even Case sensitivity aanzetten. Ook zo'n handig dingetje om te communiceren naar de buitenwereld.
We hebben het over het pre 2000 tijdperk. Dus meer als 20-25 jaar geleden. Als je deze logica niet ziet, dan mis je wel Common Sense.

Maar je overige opmerkingen vallen daar eigenlijk ook al onder. 8.3 iets met legacy waar nog steeds heel veel bedrijven mee te maken hebben. Gelukkig steeds minder.
En drive letter, blijkbaar heb jij nog nooit met gebruikers te maken gehad.

voornamelijk een hoop theorie en eigenlijk geen praktijk ervaring kunnen we hier uit je opmerkingen halen.
`

Door souplost:
Door karma4:
Door Anoniem: Kost wat, maar dan heb je ook wat... Een domein....
Waarschijnlijk goedkoper dan proberen die eigenwijze gebruikers proberen op te voeden.
Met die gebruikers bedoel ik de beslissers en ICT beheerders die voor de snelle goedkope klik klik aanpak gaan in plaats van te begrijpen waarom iets anders zou moeten.
Aha volgens onze windows fan ligt het weer aan de beheerder. Standard verhaal. Het ligt nooit aan MS. Je had namelijk moeten weten dat Microsoft ook geen raad weet met default windows instellingen.
Eigenlijk hier ook weer een opmerking van iemand die duidelijk weinig praktijkervaring heeft, waarom er bepaalde keuzes gemaakt worden. Of wat legacy is, en hoe complex dit kan zijn voor bedrijven.

Door Anoniem:

Ok, kennelijk overheen gelezen. NEPdeskundige dus, meer uit op publiciteit dan op de waarheid.
Zoals er zoveel rondlopen.

Waarom, als je de achterliggende gedachte begrijpt, dan snap je waarom dit zo'n groot probleem is/kan worden. Dat geen nepdeskinige, maar gewoon een feit
08-04-2020, 12:03 door Anoniem
Door souplost:
Door karma4:
Door Anoniem: Kost wat, maar dan heb je ook wat... Een domein....
Waarschijnlijk goedkoper dan proberen die eigenwijze gebruikers proberen op te voeden.
Met die gebruikers bedoel ik de beslissers en ICT beheerders die voor de snelle goedkope klik klik aanpak gaan in plaats van te begrijpen waarom iets anders zou moeten.
Aha volgens onze windows fan ligt het weer aan de beheerder. Standard verhaal. Het ligt nooit aan MS. Je had namelijk moeten weten dat Microsoft ook geen raad weet met default windows instellingen.
Het gebeurt me niet vaak, maar hier ben ik het toch deels eens met karma4...
Als beheerder behoor je uit te zoeken wat instellingen doen en niet domweg de defaults aanklikken.
Staat tegenover dat documentatie bij MS hier en daar ook wel wat verbeteringen behoeft.
Ik denk dat het hiervoor bedoelde domein "example.com" beter aangeeft dat je het aan moet passen.
08-04-2020, 15:11 door Anoniem
Door Anoniem: Wij hebben bijvoorbeeld als AD domein naam dezelfde naam als onze internet domeinnaam, nou ik kan je verzekeren
dat dat OOK geen pretje is soms. Je hebt dan niet het probleem wat men hier schetst, maar wel altijd problemen met
een split-DNS omgeving waar je allerlei truukjes in moet uithalen en waarin je basis DNS naam als naam van bijv een
website nooit gaat werken op je eigen netwerk.
Daarom gebruiken veel bedrijven een of ander fake domein als hun AD domein naam, en begint het hellende vlak.
Een split-horizon DNS oplossing is vrij standaard binnen bedrijven, en ik zou daadwerkelijk willen zeggen: gewenst. Interne services hoeven immers totaal niet bekend te zijn via publiek benaderbare DNS records. "Truukjes uithalen" vind ik eerder klinken als een gebrek aan beheerkennis.
08-04-2020, 15:32 door Anoniem
Door Anoniem:
Door souplost:
Door karma4:
Door Anoniem: Kost wat, maar dan heb je ook wat... Een domein....
Waarschijnlijk goedkoper dan proberen die eigenwijze gebruikers proberen op te voeden.
Met die gebruikers bedoel ik de beslissers en ICT beheerders die voor de snelle goedkope klik klik aanpak gaan in plaats van te begrijpen waarom iets anders zou moeten.
Aha volgens onze windows fan ligt het weer aan de beheerder. Standard verhaal. Het ligt nooit aan MS. Je had namelijk moeten weten dat Microsoft ook geen raad weet met default windows instellingen.
Het gebeurt me niet vaak, maar hier ben ik het toch deels eens met karma4...
Als beheerder behoor je uit te zoeken wat instellingen doen en niet domweg de defaults aanklikken.
Staat tegenover dat documentatie bij MS hier en daar ook wel wat verbeteringen behoeft.
Ik denk dat het hiervoor bedoelde domein "example.com" beter aangeeft dat je het aan moet passen.
Klopt ook, maar we hebben het hier wel over een tijdperk van meer dan 20 jaar geleden. In IT land ongeveer een eeuw geleden. Toen zag de wereld er nog heel anders uit.
Hadden ze hier over na moeten denken, zeker. Maar je kunt niet alles bedenken. Neem bijvoorbeeld de fritz.box van AVM, die is intern te resolven op basis van fritz.box FQDN. Dit was veilig... Totdat iemand bedacht dat je eigenlijk ieder domain kan/mag beginnen.
08-04-2020, 21:07 door karma4
Door Anoniem: Wij hebben bijvoorbeeld als AD domein naam dezelfde naam als onze internet domeinnaam, nou ik kan je verzekeren dat dat OOK geen pretje is soms. Je hebt dan niet het probleem wat men hier schetst, maar wel altijd problemen met een split-DNS omgeving waar je allerlei truukjes in moet uithalen en waarin je basis DNS naam als naam van bijv een website nooit gaat werken op je eigen netwerk.
Daarom gebruiken veel bedrijven een of ander fake domein als hun AD domein naam, en begint het hellende vlak.
Ik weet het.. een dns als verlengde van een marketingnaam. Dat is minder stabiel met reorganisaties overnames en wat je allemaal kan meemaken. Het nietszeggende IP-nummer is stabieler, zelfs met het mac adres kan je vaak langer doen met de jarenlange inzet van dezelfde hardware. En het DNS was nu net bedoeld om met stabiele namen Ip en mac adressering problematiek op te lossen. Er is iets goed mis gegaan in de verwachting.
09-04-2020, 13:36 door Anoniem
Door Anoniem:
Door Anoniem: Wij hebben bijvoorbeeld als AD domein naam dezelfde naam als onze internet domeinnaam, nou ik kan je verzekeren
dat dat OOK geen pretje is soms. Je hebt dan niet het probleem wat men hier schetst, maar wel altijd problemen met
een split-DNS omgeving waar je allerlei truukjes in moet uithalen en waarin je basis DNS naam als naam van bijv een
website nooit gaat werken op je eigen netwerk.
Daarom gebruiken veel bedrijven een of ander fake domein als hun AD domein naam, en begint het hellende vlak.
Een split-horizon DNS oplossing is vrij standaard binnen bedrijven, en ik zou daadwerkelijk willen zeggen: gewenst. Interne services hoeven immers totaal niet bekend te zijn via publiek benaderbare DNS records. "Truukjes uithalen" vind ik eerder klinken als een gebrek aan beheerkennis.
Split DNS heeft inderdaad heel voordelen. Echter je Active Directory naam hoeft niet het zelfde te zijn, als je Internet facing domain.
Je kunt heel goed een slit DNS zone gebruiken voor mydomain.com maar intern mydomain.grp als naam geven hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.