corp.com，史上最危險域名，堪稱域名界的“魔鬼”。

作為史上最危險域名，corp.com 在今年首次被公開出售，售價 170 萬美元。幸好，這個域名最終被微軟買下，沒有落入網(wǎng)絡(luò)犯罪分子手中。否則后果不堪設(shè)想。

據(jù) KrebsOnSecurity 報道，為防止其落入網(wǎng)絡(luò)犯罪分子手中被濫用，微軟宣布同意購買高度危險域名 corp.com。

域名專家稱 corp.com 極其危險。因為經(jīng)過多年的技術(shù)測試表明，這個域名堪稱“魔鬼”。任何人只要擁有 corp.com，就能訪問全球主要公司數(shù)十萬臺 Windows PC 中海量的密碼、電子郵件和其他敏感數(shù)據(jù)。換句話說，誰掌握了 corp.com 域名，他就能隨時獲取公司內(nèi)部機密信息和敏感數(shù)據(jù)。這也意味著公司內(nèi)部信息安全不復(fù)存在。

本周一，corp.com 所有者邁克·奧康納(Mike O’Connor )稱，微軟已經(jīng)同意購買“魔鬼”域名 corp.com。但是，他表示自己不能詳細(xì)透露交易條款，并且對此事不宜做過多評論。

微軟在一份書面聲明中表示，收購該域名是為了更好地保障用戶安全與隱私?！拔覀円恢惫膭钣脩粼谝?guī)劃內(nèi)部域和網(wǎng)絡(luò)名稱時具備安全意識。”聲明寫道，“我們在 2009 年 6 月發(fā)布了一份安全公告和相應(yīng)的安全更新。為了能持續(xù)為客戶提供安全保障，我們還收購了 corp.com 域名。”

corp.com 的所有者：美國版蔡文勝

在國內(nèi)，談到域名生意，就不得不提蔡文勝。2000 年，蔡文勝進入互聯(lián)網(wǎng)領(lǐng)域，投資域名并獲得巨大成功。比如，他出售 360.com 域名，賣了一個億，成功入選史上十大最貴域名交易名單。

相比蔡文勝，邁克·奧康納(Mike O’Connor )同樣在域名生意上獲得很大成功。一直以來，邁克·奧康納都是 corp.com 域名的所有者。作為一名早期的域名投資者，他在 1994 年以低價將幾個國寶級珍稀域名收入囊中，包括 bar.com、cafes.com、grill.com、place.com、pub.com 和 television.com。

這些年，靠出售域名，奧康納日子不愁，生活無憂。雖然不時賣掉一些域名，但是他對 corp.com 一直“諱莫如深”，絕口不提出售之事。因為他深知這個域名太重要，因此不會輕易出手。

不過據(jù)小道消息，奧康納透露幾年前微軟曾提出以 2 萬美元收購 corp.com 遭到他拒絕。奧康納認(rèn)為 2 萬美元價格太低，沒有達(dá)到域名的市場價值。

如今，奧康納年近 70，更喜歡“落袋為安”，開始考慮出售 corp.com，要價 170 萬美元。對于這種商務(wù)范十足的絕版域名而言，這個價格相當(dāng)實惠。不過，即使有人想買，恐怕也“拿不住”。相反，那些在網(wǎng)絡(luò)犯罪集團或國家黑客組織中工作的人都想得到 corp.com，有了它，網(wǎng)絡(luò)不法分子相當(dāng)于得到“魔戒”。

奧康納一直都希望微軟可以購買 corp.com 域名，因為有數(shù)十萬臺不明身份的 Windows PC 一直試圖與 corp.com 分享敏感數(shù)據(jù)。同時，Windows 的早期版本慫恿用戶對不安全設(shè)置的采用，讓 Windows 電腦更可能試圖和 corp.com 分享敏感數(shù)據(jù)。

魔鬼域名：corp.com

這個問題被稱為 namespace collision。一旦發(fā)生這種情況，原來只打算在公司內(nèi)網(wǎng)中使用的域名最后與外部互聯(lián)網(wǎng)中正常解析的域名發(fā)生重疊，因此公司內(nèi)數(shù)據(jù)會流向外網(wǎng)。

一直以來，Windows 系統(tǒng)都以一種特殊方式處理本地網(wǎng)絡(luò)上的域名解析。公司內(nèi)網(wǎng)中的 Windows 計算機使用 Active Directory(活動目錄)來驗證該網(wǎng)絡(luò)上的其他內(nèi)容。據(jù)悉，Active Directory 服務(wù)是 Windows 平臺的核心組件，它存儲了有關(guān)網(wǎng)絡(luò)對象的信息。各個對象彼此查找要借助一個名為 DNS name devolution 的 Windows 功能，這種網(wǎng)絡(luò)速記方法能輕松查找其他計算機或服務(wù)器，而無需為這些資源指定完整的合法域名。

比如，有家公司運行一個名為 internalnetwork.example.com 的內(nèi)部網(wǎng)絡(luò)，而這個網(wǎng)絡(luò)上的員工想訪問一個名為“drive 1”的共享驅(qū)動器。他不用費勁地鍵入“drive1.internalnetwork.example.com”來進入資源管理器，只需鍵入“\drive1\”，Windows 會負(fù)責(zé)剩余的工作。

不過，如果內(nèi)部 Windows 域無法映射回企業(yè)實際擁有和控制的二級域名，事情就會變得很糟糕。因為，支持 Active Directory 的 Windows 早期版本，比如 Windows Server 2000，默認(rèn)或示例 Active Directory 路徑被指定為“Corp”。并且，很多公司采用這種設(shè)置，卻沒有修改成自己公司的二級域名。后來，這些公司在這種錯誤的環(huán)境下建立或整合了龐大企業(yè)網(wǎng)絡(luò)，這讓問題變得更嚴(yán)重，錯上加錯。

二三十年前，員工不可能帶著笨重的電腦到處轉(zhuǎn)悠。但是，在移動辦公時代，輕薄筆記本層出不窮，這個安全問題也隨之被放大。假設(shè)那些配置 Active Directory、默認(rèn)網(wǎng)絡(luò)路徑為 Corp 的公司員工將工作用的筆記本電腦帶到星巴克，那會發(fā)生什么?

或許，員工筆記本電腦上的某些資源依舊會嘗試訪問公司內(nèi)網(wǎng)上的 Corp 域名，但由于 Windows 系統(tǒng)的 DNS name devolution 功能，電腦會通過星巴克無線網(wǎng)絡(luò)連接，去互聯(lián)網(wǎng)上的“corp.com”去尋找相同資源。

這意味著，corp.com 域名的控制者能“被動攔截”來自數(shù)十萬臺計算機的私人通信。

嚇出一身冷汗

在 2 月份的一篇報道中，KrebsOnSecurity 披露了一些測試信息。作為一名安全專家，杰夫·施密特(Jeff Schmidt)對 DNS 名稱空間沖突進行過長期研究。

在對 2019 年流向 Corp.com 的企業(yè)內(nèi)部流量進行的八個月分析中，施密特發(fā)現(xiàn)有超過 375，000 臺 Windows PC 正在嘗試發(fā)送信息，包括嘗試登錄公司內(nèi)網(wǎng)以及訪問網(wǎng)絡(luò)上的特定共享文件。

這個測試結(jié)果驚出施密特“一身冷汗”。

“這太可怕了。我們在 15 分鐘后就中斷了實驗，并銷毀了數(shù)據(jù)。”他表示。

多年以來，微軟已經(jīng)發(fā)布數(shù)個軟件更新，來幫助減少名稱空間沖突的可能性。但是，專家表示幾乎沒有任何易受攻擊的企業(yè)會聽從微軟建議，部署這些修復(fù)程序。主要有兩個原因：一是企業(yè)這樣做，需要在一段時間內(nèi)關(guān)閉其整個 Active Directory 網(wǎng)絡(luò);二是根據(jù)微軟的說法，補丁可能會破壞或拖慢企業(yè)日常運行所依賴的許多應(yīng)用程序。

KrebsOnSecurity 博主指出：微軟買下 corp.com 這個域名，這為那些將 Active Directory 構(gòu)建于“corp”或“corp.com”之上的公司提供了安全保障。事實上，任何公司如果將其內(nèi)部 Active Directory 網(wǎng)絡(luò)與不受控的域名“綁在一起”，最終都會讓自己陷入安全噩夢中。

在筆者看來，微軟之舉不僅讓廣大 Windows 用戶松了一口氣，而且還消除了網(wǎng)絡(luò)犯罪分子或黑客利用該域名實施攻擊的可能性。

參考鏈接：

https：//krebsonsecurity.com/2020/04/microsoft-buys-corp-com-so-bad-guys-cant/

本文來自于微信公眾號InfoQ（ID：infoqchina）