RTV

Bitflips, gdy komputery próbują wejść na windows.com: co może się nie udać?

 z zer i jedynek wyświetlane na ekranie komputera.

Przerzuty bitów to zdarzenia, które powodują odwrócenie poszczególnych bitów przechowywanych w urządzeniu elektronicznym, zamieniając 0 na 1 lub odwrotnie. Promieniowanie kosmiczne i wahania mocy lub temperatury to najczęstsze przyczyny występujące naturalnie. Badania z 2010 roku szacują, że komputer z 4 GB pamięci RAM ma 96 procent szans na przerzucenie się w ciągu trzech dni.

Niezależny badacz wykazał niedawno, jak bitflips może powracać i gryźć użytkowników systemu Windows, gdy ich komputery docierają do domeny Microsoft Windows.com. Urządzenia z systemem Windows robią to regularnie, aby wykonywać takie czynności, jak upewnianie się, że czas wyświetlany na zegarze komputera jest dokładny, łączenie się z usługami chmurowymi firmy Microsoft i odzyskiwanie po awarii.

Remy, o co poprosił badacz, zmapował 32 prawidłowe nazwy domen, które były oddalone o jeden bitflip od witryny windows.com. Podał następujące informacje, aby pomóc czytelnikom zrozumieć, w jaki sposób te przerzuty mogą spowodować zmianę domeny na whndows.com:

01110111 01101001 01101110 01100100 01101111 01110111 01110011
w ja n re o w s
01110111 01101000 01101110 01100100 01101111 01110111 01110011
w godz n re o w s

Spośród 32 odwróconych bitów wartości, które były prawidłowymi nazwami domen, Remy stwierdził, że 14 z nich było nadal dostępnych do kupienia. Było to zaskakujące, ponieważ zwykle Microsoft i inne firmy kupują tego typu jednorazowe domeny, aby chronić klientów przed atakami phishingowymi. Kupił je za 126 dolarów i postanowił zobaczyć, co się stanie. Domeny to:

  • windnws.com
  • windo7s.com
  • windkws.com
  • windmws.com
  • winlows.com
  • windgws.com
  • wildows.com
  • wintows.com
  • wijdows.com
  • wiodows.com
  • wifdows.com
  • whndows.com
  • wkndows.com
  • wmndows.com

Brak nieodłącznej weryfikacji

W ciągu dwóch tygodni serwer Remy’ego odebrał 199 180 połączeń z 626 unikalnych adresów IP, które próbowały skontaktować się z ntp.windows.com. Domyślnie komputery z systemem Windows będą łączyć się z tą domeną raz w tygodniu, aby sprawdzić, czy czas wyświetlany na zegarze urządzenia jest prawidłowy. To, co badacz odkrył później, było jeszcze bardziej zaskakujące.

„Klient NTP dla systemu Windows nie ma nieodłącznej weryfikacji autentyczności, więc nic nie stoi na przeszkodzie, aby złośliwa osoba powiedziała wszystkim tym komputerom, że jest po 03:14:07 we wtorek, 19 stycznia 2038 r. I siała nieznane spustoszenie, ponieważ pamięć przechowująca ze znakiem 32-bitowej liczby całkowitej dla przepełnień czasowych ”- napisał w poście podsumowującym swoje odkrycia. „Jak się jednak okazuje, w przypadku ~ 30% tych komputerów robi to niewielką lub żadną różnicę dla tych użytkowników, ponieważ ich zegar jest już złamany. ”

Badacz zaobserwował maszyny próbujące nawiązać połączenia z innymi subdomenami windows.com, w tym sg2p.wswindows.com, client.wns.windows.com, skydrive.wns.windows.com, windows.com/stopcode i windows.com/? fbclid.

Remy powiedział, że nie wszystkie niezgodności domen były wynikiem bitflipów. W niektórych przypadkach były one spowodowane literówkami przez ludzi za klawiaturą, aw co najmniej jednym przypadku klawiatura była na urządzeniu z Androidem, ponieważ próbowała zdiagnozować awarię niebieskiego ekranu ze śmiercią, która wystąpiła w systemie Windows maszyna.

Aby uchwycić urządzenia ruchu wysyłane do niezgodnych domen, Remy wynajął wirtualny serwer prywatny i utworzył wpisy wyszukiwania domen z symbolami wieloznacznymi, aby je wskazać. Rekordy z symbolem wieloznacznym umożliwiają mapowanie ruchu kierowanego do różnych subdomen tej samej domeny – na przykład ntp.whndows.com, abs.xyz.whndows.com lub client.wns.whndows.com – na ten sam adres IP.

„Ze względu na charakter tych badań dotyczących odwracania bitów umożliwia mi to przechwycenie dowolnego wyszukiwania DNS dla subdomeny witryny windows.com, w której zostało odwróconych wiele bitów”.

Remy powiedział, że jest skłonny przenieść 14 domen do „weryfikowalnej strony odpowiedzialnej”, a tymczasem po prostu je zatopi, co oznacza, że ​​zatrzyma adresy i skonfiguruje rekordy DNS, aby były nieosiągalne.

„Mam nadzieję, że to zapoczątkuje więcej badań”

Zapytałem przedstawicieli Microsoftu, czy znają wyniki i ofertę przeniesienia domen. Przedstawiciele pracują nad uzyskaniem odpowiedzi. Czytelnicy powinni jednak pamiętać, że zagrożenia zidentyfikowane przez badanie nie ograniczają się do systemu Windows.

Na przykład w prezentacji z 2019 r. Na konferencji Kaspersky Security Analysts Summit badacze z firmy Bishop Fox, zajmującej się bezpieczeństwem, uzyskali otwierające oczy wyniki po zarejestrowaniu setek odmian bitflipped skype.com, symantec.com i innych często odwiedzanych witryn.

Remy powiedział, że odkrycia są ważne, ponieważ sugerują, że niedopasowanie domen wywołane bitflipem występuje na skalę wyższą, niż zdaje sobie sprawę wiele osób.

„Wcześniejsze badania dotyczyły głównie HTTP / HTTPS, ale moje badania pokazują, że nawet w przypadku niewielkiej garstki domen podzielonych na bity nadal można przefiltrować niepożądany ruch z innych domyślnych protokołów sieciowych, które stale działają, takich jak NTP” – powiedział Remy w bezpośrednia wiadomość. „Miejmy nadzieję, że zaowocuje to większą liczbą badań w tej dziedzinie, ponieważ odnosi się ona do modelu zagrożeń domyślnych usług systemu operacyjnego”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook