La proliferación de nuevos dominios de nivel superior (TLD) ha exacerbado una debilidad de seguridad bien conocida: muchas organizaciones configuraron sus sistemas internos de autenticación de Microsoft hace años utilizando nombres de dominio en TLD que no existían en ese momento. Es decir, están enviando continuamente sus nombres de usuario y contraseñas de Windows a nombres de dominio que no controlan y que están disponibles libremente para que cualquiera los registre. A continuación, se muestra un vistazo a los esfuerzos de un investigador de seguridad para mapear y reducir el tamaño de este insidioso problema. El problema es una amenaza de seguridad y privacidad bien conocida llamada «colisión de espacios de nombres», una situación en la que los nombres de dominio destinados a ser utilizados exclusivamente en una red interna de la empresa terminan superponiéndose con dominios que pueden resolverse normalmente en Internet abierta. Las computadoras Windows en una red corporativa privada validan otras cosas en esa red utilizando una innovación de Microsoft llamada Active Directory, que es el término general para una amplia gama de servicios relacionados con la identidad en entornos Windows. Una parte fundamental de la forma en que estos elementos se encuentran entre sí implica una característica de Windows llamada “devolución de nombres DNS”, una especie de abreviatura de red que facilita la búsqueda de otros equipos o servidores sin tener que especificar un nombre de dominio completo y legítimo para esos recursos. Considere la red privada hipotética internalnetwork.example.com: cuando un empleado de esta red desea acceder a una unidad compartida llamada “unidad1”, no es necesario escribir “unidad1.internalnetwork.example.com” en el Explorador de Windows; bastará con escribir “\\unidad1\” y Windows se encargará del resto. Pero pueden surgir problemas cuando una organización ha construido su red de Active Directory sobre un dominio que no posee ni controla. Si bien eso puede parecer una forma loca de diseñar un sistema de autenticación corporativa, tenga en cuenta que muchas organizaciones construyeron sus redes mucho antes de la introducción de cientos de nuevos dominios de nivel superior (TLD), como .network, .inc y .llc. Por ejemplo, en 1995 una empresa construyó su servicio Microsoft Active Directory en torno al dominio company.llc, tal vez pensando que, dado que .llc ni siquiera era un TLD enrutable, el dominio simplemente no se resolvería si las computadoras Windows de la organización se usaran fuera de su red local. Lamentablemente, en 2018, nació el TLD .llc y comenzó a vender dominios. A partir de entonces, cualquiera que registrara company.llc podría interceptar pasivamente las credenciales de Microsoft Windows de esa organización o modificar activamente esas conexiones de alguna manera, como redirigirlas a algún lugar malicioso. Philippe Caturegli, fundador de la consultora de seguridad Seralys, es uno de los varios investigadores que buscan trazar el tamaño del problema de las colisiones de espacios de nombres. Como evaluador de penetración profesional, Caturegli ha explotado durante mucho tiempo estas colisiones para atacar objetivos específicos que pagaban para que se investigaran sus defensas cibernéticas. Pero durante el último año, Caturegli ha ido mapeando gradualmente esta vulnerabilidad en Internet buscando pistas que aparecen en certificados de seguridad autofirmados (por ejemplo, certificados SSL/TLS). Caturegli ha estado escaneando Internet abierta en busca de certificados autofirmados que hagan referencia a dominios en una variedad de TLD que probablemente atraigan a las empresas, incluidos .ad, .associates, .center, .cloud, .consulting, .dev, .digital, .domains, .email, .global, .gmbh, .group, .holdings, .host, .inc, .institute, .international, .it, .llc, .ltd, .management, .ms, .name, .network, .security, .services, .site, .srl, .support, .systems, .tech, .university, .win y .zone, entre otros. Seralys encontró certificados que hacían referencia a más de 9.000 dominios distintos en esos TLD. Su análisis determinó que muchos TLD tenían muchos más dominios expuestos que otros, y que alrededor del 20 por ciento de los dominios que encontraron que terminaban en .ad, .cloud y .group siguen sin estar registrados. «La escala del problema parece mayor de lo que inicialmente anticipé», dijo Caturegli en una entrevista con KrebsOnSecurity. «Y mientras hacía mi investigación, también identifiqué entidades gubernamentales (extranjeras y nacionales), infraestructuras críticas, etc. que tienen esos activos mal configurados». DELITO EN TIEMPO REAL Algunos de los TLD enumerados anteriormente no son nuevos y corresponden a TLD de código de país, como .it para Italia y .ad, el TLD de código de país para la pequeña nación de Andorra. Caturegli dijo que muchas organizaciones sin duda veían un dominio que terminaba en .ad como una forma abreviada y conveniente de configurar un Active Directory interno, mientras que no sabían o no les preocupaba que alguien pudiera registrar un dominio de ese tipo e interceptar todas sus credenciales de Windows y cualquier tráfico no cifrado. Cuando Caturegli descubrió que se estaba utilizando activamente un certificado de cifrado para el dominio memrtcc.ad, el dominio todavía estaba disponible para su registro. Luego se enteró de que el registro de .ad requiere que los clientes potenciales muestren una marca comercial válida para un dominio antes de que pueda registrarse. Sin desanimarse, Caturegli encontró un registrador de dominios que le vendiera el dominio por $160 y se encargara del registro de la marca comercial por otros $500 (en los registros de .ad posteriores, localizó una empresa en Andorra que podía procesar la solicitud de marca comercial por la mitad de esa cantidad). Caturegli dijo que inmediatamente después de configurar un servidor DNS para memrtcc.ad, comenzó a recibir una avalancha de comunicaciones de cientos de computadoras Microsoft Windows que intentaban autenticarse en el dominio. Cada solicitud contenía un nombre de usuario y una contraseña de Windows cifrada, y al buscar los nombres de usuario en línea, Caturegli concluyó que todos pertenecían a agentes de policía de Memphis, Tennessee. «Parece que todos los coches de policía tienen un ordenador portátil en el coche, y todos están conectados a este dominio memrtcc.ad que ahora soy el propietario», dijo Caturegli, señalando con ironía que «memrtcc» significa «Memphis Real-Time Crime Center». Caturegli dijo que la creación de un registro de servidor de correo electrónico para memrtcc.ad hizo que empezara a recibir mensajes automáticos del servicio de asistencia informática del departamento de policía, incluidos los tickets de problemas relacionados con el sistema de autenticación Okta de la ciudad. Mike Barlow, director de seguridad de la información de la ciudad de Memphis, confirmó que los sistemas de la policía de Memphis estaban compartiendo sus credenciales de Microsoft Windows con el dominio, y que la ciudad estaba trabajando con Caturegli para que se les transfiriera el dominio. «Estamos trabajando con el Departamento de Policía de Memphis para al menos mitigar un poco el problema mientras tanto», dijo Barlow. Hace tiempo que se anima a los administradores de dominios a utilizar .local para nombres de dominio internos, porque este TLD está reservado para el uso de redes locales y no se puede enrutar a través de Internet abierto. Sin embargo, Caturegli dijo que muchas organizaciones parecen haber pasado por alto esa nota y han hecho las cosas al revés, configurando su estructura interna de Active Directory en torno al dominio perfectamente enrutable local.ad. Caturegli dijo que lo sabe porque registró «defensivamente» local.ad, que según él es utilizado actualmente por varias organizaciones grandes para configuraciones de Active Directory, incluido un proveedor de telefonía móvil europeo y la ciudad de Newcastle en el Reino Unido. UN WPAD PARA GOBERNARLOS A TODOS Caturegli dijo que ahora ha registrado defensivamente una serie de dominios que terminan en .ad, como internal.ad y schema.ad. Pero quizás el dominio más peligroso en su establo es wpad.ad. WPAD son las siglas de Web Proxy Auto-Discovery Protocol (Protocolo de descubrimiento automático de proxy web), una antigua función activada por defecto incorporada en todas las versiones de Microsoft Windows que fue diseñada para que a los equipos con Windows les resultara más sencillo encontrar y descargar automáticamente cualquier configuración de proxy requerida por la red local. El problema es que cualquier organización que haya elegido un dominio .ad que no es de su propiedad para su configuración de Active Directory tendrá un montón de sistemas Microsoft que intentarán constantemente llegar a wpad.ad si esas máquinas tienen habilitada la detección automática de proxy. Los investigadores de seguridad han estado atacando a WPAD durante más de dos décadas, advirtiendo una y otra vez cómo se puede abusar de él con fines nefastos. En la conferencia de seguridad DEF CON de este año en Las Vegas, por ejemplo, un investigador mostró lo que sucedió después de registrar el dominio wpad.dk: Inmediatamente después de activar el dominio, recibieron una avalancha de solicitudes WPAD de sistemas Microsoft Windows en Dinamarca que tenían colisiones de espacio de nombres en sus entornos de Active Directory. Imagen: Defcon.org. Por su parte, Caturegli instaló un servidor para resolver y registrar la dirección de Internet de cualquier sistema Microsoft Sharepoint que intentara acceder a wpad.ad, y vio que en una semana recibió más de 140.000 visitas de hosts Sharepoint de todo el mundo que intentaban conectarse. El problema fundamental con WPAD es el mismo que con Active Directory: ambas son tecnologías diseñadas originalmente para usarse en entornos de oficina cerrados, estáticos y confiables, y ninguna fue creada teniendo en cuenta los dispositivos móviles o la fuerza laboral de hoy. Probablemente una de las principales razones por las que las organizaciones con posibles problemas de colisión de espacios de nombres no los solucionan es que reconstruir la infraestructura de Active Directory en torno a un nuevo nombre de dominio puede ser increíblemente disruptivo, costoso y riesgoso, mientras que la amenaza potencial se considera comparativamente baja. Pero Caturegli dijo que las bandas de ransomware y otros grupos de cibercrimen podrían desviar enormes volúmenes de credenciales de Microsoft Windows de bastantes empresas con solo una pequeña inversión inicial. «Es una forma fácil de obtener ese acceso inicial sin siquiera tener que lanzar un ataque real», dijo. “Simplemente espera a que la estación de trabajo mal configurada se conecte contigo y te envíe sus credenciales”. Si alguna vez descubrimos que los grupos de cibercriminales están utilizando colisiones de espacios de nombres para lanzar ataques de ransomware, nadie podrá decir que no fueron advertidos. Mike O’Connor, uno de los primeros inversores en nombres de dominio que registró una serie de dominios selectos como bar.com, place.com y television.com, advirtió en voz alta y con frecuencia en 2013 que los planes pendientes en ese momento para agregar más de 1.000 nuevos TLD expandirían masivamente el número de colisiones de espacios de nombres. O’Connor estaba tan preocupado por el problema que ofreció premios de $50.000, $25.000 y $10.000 a los investigadores que pudieran proponer las mejores soluciones para mitigarlo. El dominio más famoso del Sr. O’Connor es corp.com, porque durante varias décadas vio con horror cómo cientos de miles de PC de Microsoft bombardeaban continuamente su dominio con credenciales de organizaciones que habían configurado su entorno de Active Directory alrededor del dominio corp.com. Resultó que Microsoft había utilizado corp.com como ejemplo de cómo se podría configurar Active Directory en algunas ediciones de Windows NT. Peor aún, parte del tráfico que iba a corp.com provenía de las redes internas de Microsoft, lo que indicaba que alguna parte de la propia infraestructura interna de Microsoft estaba mal configurada. Cuando O’Connor dijo que estaba listo para vender corp.com al mejor postor en 2020, Microsoft aceptó comprar el dominio por una cantidad no revelada. «Me imagino que este problema es algo así como un pueblo [that] “Los propietarios de esos proyectos sabían que se habían construido tuberías de plomo para el suministro de agua o que los proveedores de esos proyectos sabían que no se lo habían dicho a sus clientes”, dijo O’Connor a KrebsOnSecurity. “No se trata de algo involuntario como el Y2K, cuando todo el mundo se sorprendió por lo que pasó. La gente lo sabía y no le importó”.