通用顶级域名 (Generic Top-level domains, gTLDs) 近期的爆炸式发展可能造成企业内部使用的内部域名与公网上的注册域名之间的冲突,让企业的计算机产生风险。
许多企业已经配置了一些域名,而很多时候,这些域名使用的是编出来的顶级域名,它们在几年以前还不存在于互联网上,比如 .office 、 .global 、 .network 、 .group 、 .school 等。使用内部的基于域的名称空间可以更容易地锁定、管理并访问系统。
问题在于,过去的两年中,互联网名称与数字地址分配机构 (Internet Corporation for Assigned Names and Numbers, ICANN) 为了进一步扩张,批准了超过900个新的公开通用顶级域名,这可能会对使用基于域名的企业网络上的应用和xie造成未知的安全影响。
比如网络代理自动发现协议(Web Proxy Auto-discovery, WPAD) ,本地网络上的计算机会使用该协议,自动查找应当使用的网络代理设置。
WPAD在IE和Windows中是默认开启的,这也是企业网络环境中最常见的浏览器-操作系统组合。火狐、谷歌Chrome和苹果Safari等浏览器也在Linux和OS X等其它平台上支持该协议,只不过并非自动开启。
计算机应当使用WPAD协议和本地DNS服务器,寻找应当下载并使用的wpad.dat代理配置文件。对于基于域名的网络而言,这一文件可能存储在以wpad.internal_domain.tld.为主机名的Web服务器上。
出现的问题是这样:当计算机,比如一台笔记本电脑被带离企业的网络环境,并连接到了不同的网络上,由于企业的内部DNS服务器无法使用,WPAD NDS查询请求将会被发送到公共DNS服务器上。
由于通用顶级域名扩展产生的影响,攻击者可以用企业内部通行的域名注册一个共有域名,并将恶意的代理配置文件托管到主机上,供上述情况下的笔记本电脑下载。这意味着这类计算机的网络流量将经过一个攻击者控制的代理服务器,产生非法流量窥探或篡改的可能性。这也被称为中间人攻击。
为了揭示此问题的广度,来自Verisign公司和密歇根大学的研究人员分析了全球13台DNS根服务器中的2台在2013年9月到2015年7月之间shWPAD请求。这两台服务器是属于Verisign公司的。
数据表明,平均每天大约有2000万次WPAD请求传到服务器,对应的潜在受害者数量可能高达660万人。研究人员发现,泄露的WPAD请求涉及ICANN在2015年8月25日前授权的738个新域名中的485个。
该问题可能比上述情况的影响更大,因为ICANN自去年8月起又授权了201个新的通用顶级域名,而且,研究人员分析的数据仅仅来自全球13台DNS根服务器中的2台。
受影响最大的通用顶级域名如下:.global .ads .group .network .dev .office .prod .hsbc .win .world .wan .sap .site。大约65%的受影响WPAD请求来自美国。
该问题促使美国计算机紧急响应小组 (United States Computer Emergency Readiness Team, US-CERT) 在本周一发布了安全警报。小组对网络管理员提出了一些建议:
在配置设备时,如非必要,禁用浏览器和操作系统的自动代理发现功能;
使用全球DNS下广受承认的域名作为企业和内部地址空间的根域名,比如企业亲自注册并拥有的域名。
本文转自d1net(转载)